AndroxGh0st 僵尸网络

CISA 和 FBI 联合发布了有关利用 Androxgh0st 恶意软件的威胁行为者活动的警告，这些威胁行为者正在积极构建僵尸网络，特别关注窃取云凭证。这些恶意行为者利用收集到的信息来部署额外的有害负载。该僵尸网络最初由网络安全研究人员于 2022 年发现，当时已经控制了超过 40,000 台设备。

该僵尸网络的作案手法包括扫描易受远程代码执行 (RCE) 影响的网站和服务器中的漏洞。值得注意的是，威胁行为者针对特定漏洞，即 CVE-2017-9841（与 PHPUnit 单元测试框架相关）、CVE-2021-41773（与 Apache HTTP Server 相关）和 CVE-2018-15133（与 Laravel 相关） PHP Web 框架）。通过利用这些漏洞，Androxgh0st 恶意软件可以促进未经授权的访问并窃取云凭据，从而构成重大的网络安全风险。

AndroxGh0st 恶意软件针对违规设备上的敏感数据

Androxgh0st 是一种 Python 脚本恶意软件，主要针对存储机密信息的 .env 文件，包括 Laravel Web 应用程序框架内的 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等知名应用程序的凭据。

该恶意软件拥有各种功能，可以滥用简单邮件传输协议 (SMTP)。它可以扫描和利用公开的凭据和应用程序编程接口 (API)，以及部署 Web shell。 Twilio 和 SendGrid 凭据的泄露使威胁行为者能够策划垃圾邮件活动，冒充被入侵的公司。

根据其应用，AndroxGh0st 针对所获取的凭证表现出两个主要功能。更常见的一种方法是检查受感染帐户的电子邮件发送限制，以确定其是否适合发送垃圾邮件。

攻击者还展示了在受感染的网站上创建虚假页面，建立后门来访问包含敏感信息的数据库。此访问权限用于部署对其运营至关重要的其他威胁工具。在易受攻击的网站上成功识别并泄露 AWS 凭证的情况下，攻击者会尝试创建新用户和用户策略。

此外，Andoxgh0st 运营商利用窃取的凭证启动新的 AWS 实例，使他们能够在互联网上扫描其他易受攻击的目标，作为其持续运营的一部分。

如何防范潜在的 Andoxgh0st 恶意软件攻击？

为了减轻 Androxgh0st 恶意软件攻击的影响并最大程度地降低受损风险，建议网络防御者实施以下措施：

• 保持系统更新：确保定期更新所有操作系统、软件和固件。具体来说，验证 Apache 服务器未运行版本 2.4.49 或 2.4.50。
• URI 配置：确认所有统一资源标识符 (URI) 的默认配置均设置为拒绝所有请求，除非存在特定且合理的可访问性需求。
• Laravel 应用程序设置：确保任何实时 Laravel 应用程序不处于“调试”或测试模式。从 .env 文件中删除云凭据并撤销它们。对以前存储的云凭据执行一次性审核，并对无法删除的其他凭据类型进行持续审核。
• 文件系统扫描：扫描服务器的文件系统中是否存在无法识别的 PHP 文件，特别注意根目录和 /vendor/phpunit/phpunit/src/Util/PHP 文件夹。
• 传出 GET 请求：查看对 GitHub 或 Pastebin 等文件托管站点的传出 GET 请求，尤其是使用 cURL 命令的请求。当请求访问 .php 文件时要特别注意。

CISA 已根据主动利用的证据更新了其已知被利用的漏洞目录。新增CVE-2018-15133 Laravel反序列化不可信数据漏洞，同时分别于2021年11月和2022年2月新增CVE-2021-41773 Apache HTTP Server路径遍历和CVE-2017-9841 PHPUnit命令注入漏洞。这些新增内容旨在提高认识并促使针对与 Androxgh0st 相关的已知漏洞采取积极主动的措施。