AndroxGh0st 殭屍網絡

CISA 和 FBI 聯合發布了有關利用 Androxgh0st 惡意軟體的威脅行為者活動的警告，這些威脅行為者正在積極建立殭屍網絡，特別關注竊取雲端憑證。這些惡意行為者利用收集到的資訊來部署額外的有害負載。該殭屍網路最初由網路安全研究人員於 2022 年發現，當時已經控制了超過 4 萬台設備。

這個殭屍網路的作案手法包括掃描易受遠端程式碼執行 (RCE) 影響的網站和伺服器中的漏洞。值得注意的是，威脅行為者針對特定漏洞，即 CVE-2017-9841（與 PHPUnit 單元測試框架相關）、CVE-2021-41773（與 Apache HTTP Server 相關）和 CVE-2018-15133（與 Laravel 相關） PHP Web 框架）。透過利用這些漏洞，Androxgh0st 惡意軟體可以促進未經授權的存取並竊取雲端憑證，從而構成重大的網路安全風險。

AndroxGh0st 惡意軟體針對違規裝置上的敏感數據

Androxgh0st 是一種 Python 腳本惡意軟體，主要針對儲存機密資訊的 .env 文件，包括 Laravel Web 應用程式框架內的 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等知名應用程式的憑證。

該惡意軟體具有各種功能，可濫用簡單郵件傳輸協定 (SMTP)。它可以掃描和利用公開的憑證和應用程式介面 (API)，以及部署 Web shell。 Twilio 和 SendGrid 憑證的洩漏使威脅行為者能夠策劃垃圾郵件活動，並冒充被入侵的公司。

根據其應用，AndroxGh0st 針對所取得的憑證表現出兩個主要功能。更常見的一種方法是檢查受感染帳戶的電子郵件發送限制，以確定其是否適合發送垃圾郵件。

攻擊者還展示了在受感染的網站上建立虛假頁面，建立後門來存取包含敏感資訊的資料庫。此存取權限用於部署對其營運至關重要的其他威脅工具。在易受攻擊的網站上成功識別並洩露 AWS 憑證的情況下，攻擊者會嘗試建立新使用者和使用者策略。

此外，Andoxgh0st 業者利用竊取的憑證啟動新的 AWS 實例，使他們能夠在網路上掃描其他易受攻擊的目標，作為其持續營運的一部分。

如何防範潛在的 Andoxgh0st 惡意軟體攻擊？

為了減輕 Androxgh0st 惡意軟體攻擊的影響並最大程度地降低受損風險，建議網路防禦者實施以下措施：

• 保持系統更新：確保定期更新所有作業系統、軟體和韌體。具體來說，驗證 Apache 伺服器未運行版本 2.4.49 或 2.4.50。
• URI 設定：確認所有統一資源識別碼 (URI) 的預設設定均設定為拒絕所有要求，除非有特定且合理的可存取性需求。
• Laravel 應用程式設定：確保任何即時 Laravel 應用程式不會處於「偵錯」或測試模式。從 .env 檔案中刪除雲端憑證並撤銷它們。對先前儲存的雲端憑證執行一次性審核，並對無法刪除的其他憑證類型進行持續審核。
• 文件系統掃描：掃描伺服器的檔案系統中是否存在無法辨識的 PHP 文件，特別注意根目錄和 /vendor/phpunit/phpunit/src/Util/PHP 資料夾。
• 傳出 GET 請求：查看對 GitHub 或 Pastebin 等文件託管網站的傳出 GET 請求，尤其是使用 cURL 指令的請求。當請求存取 .php 檔案時要特別注意。

CISA 已根據主動利用的證據更新了其已知被利用的漏洞目錄。新增CVE-2018-15133 Laravel反序列化不可信資料漏洞，同時分別於2021年11月及2022年2月新增CVE-2021-41773 Apache HTTP Server路徑遍歷及CVE-2017-9841 PHPUnit指令注入漏洞。這些新增內容旨在提高認識並促使針對與 Androxgh0st 相關的已知漏洞採取積極主動的措施。