AndroxGh0st 僵尸网络出现在 CISA 雷达中
美国网络安全和基础设施安全局 (CISA) 和联邦调查局已就威胁行为者部署 AndroxGh0st 恶意软件发出警告。这些行为者正在建立僵尸网络,其目的是“识别和利用目标网络中的受害者”。
AndroxGh0st 是一种基于 Python 的恶意软件,最初于 2022 年 12 月记录,它为创建 AlienFox、GreenBot(也称为 Mainance)、Legion 和 Predator 等类似工具提供了灵感。
该云攻击工具擅长渗透具有已知安全漏洞的服务器、获取对 Laravel 环境文件的访问权限以及窃取 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等著名应用程序的凭据。
AndroxGh0st 滥用多个漏洞
攻击者利用 CVE-2017-9841 (PHPUnit)、CVE-2021-41773 (Apache HTTP Server) 和 CVE-2018-15133 (Laravel Framework) 等著名漏洞作为其武器化策略的一部分。
研究人员强调,AndroxGh0st 拥有多种促进 SMTP 滥用的功能,包括扫描、利用暴露的凭据和 API 以及部署 Web shell。尤其对于 AWS 而言,该恶意软件不仅扫描和解析 AWS 密钥,还能够生成用于暴力攻击的密钥。
这些功能使 AndroxGh0st 成为强大的威胁,可以下载额外的有效负载并建立对受感染系统的持久访问。
这一进展是在 SentinelOne 发布一款名为 FBot 的工具后不久发生的,攻击者利用该工具来破坏 Web 服务器、云服务、内容管理系统 (CMS) 和 SaaS 平台。