AndroxGh0st 殭屍網路出現在 CISA 雷達中

美國網路安全與基礎設施安全局 (CISA) 和聯邦調查局已就威脅行為者部署 AndroxGh0st 惡意軟體發出警告。這些行為者正在建立殭屍網絡，其目的是「識別和利用目標網路中的受害者」。

AndroxGh0st 是一種基於 Python 的惡意軟體，最初於 2022 年 12 月記錄，它為創建 AlienFox、GreenBot（也稱為 Mainance）、Legion 和 Predator 等類似工具提供了靈感。

此雲端攻擊工具擅長滲透具有已知安全漏洞的伺服器、取得對 Laravel 環境文件的存取權限以及竊取 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等著名應用程式的憑證。

AndroxGh0st 濫用多個漏洞

攻擊者利用 CVE-2017-9841 (PHPUnit)、CVE-2021-41773 (Apache HTTP Server) 和 CVE-2018-15133 (Laravel Framework) 等著名漏洞作為其武器化策略的一部分。

研究人員強調，AndroxGh0st 擁有多種促進 SMTP 濫用的功能，包括掃描、利用暴露的憑證和 API 以及部署 Web shell。尤其對於 AWS 而言，該惡意軟體不僅掃描和解析 AWS 金鑰，還能夠產生用於暴力攻擊的金鑰。

這些功能使 AndroxGh0st 成為強大的威脅，可以下載額外的有效負載並建立對受感染系統的持久存取。

這項進展是在 SentinelOne 發布一款名為 FBot 的工具後不久發生的，攻擊者利用該工具來破壞 Web 伺服器、雲端服務、內容管理系統 (CMS) 和 SaaS 平台。