AndroxGh0st 僵尸网络出现在 CISA 雷达中

美国网络安全和基础设施安全局 (CISA) 和联邦调查局已就威胁行为者部署 AndroxGh0st 恶意软件发出警告。这些行为者正在建立僵尸网络，其目的是“识别和利用目标网络中的受害者”。

AndroxGh0st 是一种基于 Python 的恶意软件，最初于 2022 年 12 月记录，它为创建 AlienFox、GreenBot（也称为 Mainance）、Legion 和 Predator 等类似工具提供了灵感。

该云攻击工具擅长渗透具有已知安全漏洞的服务器、获取对 Laravel 环境文件的访问权限以及窃取 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等著名应用程序的凭据。

AndroxGh0st 滥用多个漏洞

攻击者利用 CVE-2017-9841 (PHPUnit)、CVE-2021-41773 (Apache HTTP Server) 和 CVE-2018-15133 (Laravel Framework) 等著名漏洞作为其武器化策略的一部分。

研究人员强调，AndroxGh0st 拥有多种促进 SMTP 滥用的功能，包括扫描、利用暴露的凭据和 API 以及部署 Web shell。尤其对于 AWS 而言，该恶意软件不仅扫描和解析 AWS 密钥，还能够生成用于暴力攻击的密钥。

这些功能使 AndroxGh0st 成为强大的威胁，可以下载额外的有效负载并建立对受感染系统的持久访问。

这一进展是在 SentinelOne 发布一款名为 FBot 的工具后不久发生的，攻击者利用该工具来破坏 Web 服务器、云服务、内容管理系统 (CMS) 和 SaaS 平台。