AndroxGh0st 殭屍網路出現在 CISA 雷達中
美國網路安全與基礎設施安全局 (CISA) 和聯邦調查局已就威脅行為者部署 AndroxGh0st 惡意軟體發出警告。這些行為者正在建立殭屍網絡,其目的是「識別和利用目標網路中的受害者」。
AndroxGh0st 是一種基於 Python 的惡意軟體,最初於 2022 年 12 月記錄,它為創建 AlienFox、GreenBot(也稱為 Mainance)、Legion 和 Predator 等類似工具提供了靈感。
此雲端攻擊工具擅長滲透具有已知安全漏洞的伺服器、取得對 Laravel 環境文件的存取權限以及竊取 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等著名應用程式的憑證。
AndroxGh0st 濫用多個漏洞
攻擊者利用 CVE-2017-9841 (PHPUnit)、CVE-2021-41773 (Apache HTTP Server) 和 CVE-2018-15133 (Laravel Framework) 等著名漏洞作為其武器化策略的一部分。
研究人員強調,AndroxGh0st 擁有多種促進 SMTP 濫用的功能,包括掃描、利用暴露的憑證和 API 以及部署 Web shell。尤其對於 AWS 而言,該惡意軟體不僅掃描和解析 AWS 金鑰,還能夠產生用於暴力攻擊的金鑰。
這些功能使 AndroxGh0st 成為強大的威脅,可以下載額外的有效負載並建立對受感染系統的持久存取。
這項進展是在 SentinelOne 發布一款名為 FBot 的工具後不久發生的,攻擊者利用該工具來破壞 Web 伺服器、雲端服務、內容管理系統 (CMS) 和 SaaS 平台。