Androxgh0st恶意软件与其扩展的能力

关键要点

• Androxgh0st恶意软件的开发者建立了一个僵尸网络，用以识别并利用脆弱的网络。
• 恶意软件主要扫描包含敏感信息的.env文件，尤其是与云服务相关的凭证。
• 该恶意软件利用了几个已知的漏洞，包括2018年的CVE-2018-15133，导致远程代码执行。
• 专家呼吁组织加强补丁管理，对于云安全保持警惕。

Androxgh0st恶意软件的背后黑客通过建立一个僵尸网络，来增强其识别和利用脆弱网络的能力。

根据美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）在一次联合公告中揭示的最新信息，该恶意软件在多个持续的调查中暴露出了一些重要细节。

恶意软件的主要功能

恶意软件主要被用来扫描包含云服务凭证的.env文件，比如亚马逊网络服务（AWS）、微软Office365、SendGrid和Twilio等。对于使用Laravel框架的网站，黑客们会检查目标的根目录下是否暴露了.env文件，并确认这些文件中是否包含访问其他服务的凭证。

黑客利用了2018年发现的漏洞，这可以让未修补的Laravel应用程序允许远程代码执行。就在双方发布公告的同一天，CISA也将此Laravel漏洞添加到了其。

“Androxgh0st恶意软件还支持众多功能，能够滥用简单邮件传输协议（SMTP），例如扫描和利用暴露的凭证及应用程序接口（API），以及进行Web Shell部署，”公告中提到。

此外，黑客还被发现利用了其他两个漏洞：一是2017年的PHP任意代码执行漏洞（），二是2021年的ApacheHTTPServer路径遍历攻击漏洞（）。这两个漏洞之前也已被添加到KEVCatalog中。

注释与建议

KnowBe4的数据驱动防御倡导者RogerGrimes表示，这份公告引发了对许多组织补丁管理不善的担忧。他指出：“这一特别攻击利用了三到七年前首次公布（并修补）的未修补漏洞，这些漏洞至今仍在被利用。”

他补充说：“这充分说明了每个软件漏洞都有相当一部分人将永远不会及时应用补丁。”

Conversant Group首席执行官John A. Smith提到，Androxgh0st对云应用凭证盗窃的关注提醒了组织，不应假设云本身就是安全的。他指出：“预防总是胜于治疗。由于Androxgh0st利用了暴露的.env文件和未修补的漏洞，因此定期检查和监控云环境以防暴露，以及制定积极的线下补丁政策是非常必要的。”

Grimes还表示，随着越来越多的应用迁移到云计算，更多恶意软件开始关注云层风险。“多年前，大多数盗取凭证的恶意软件主要关注密码，而如今，越来越多的恶意软件关注多因素身份验证保护的登录、云登录和云令牌。黑客和恶意软件总是追随技术的发展方向。”

此外，Androxgh0st恶意软件是由Lacework在2022年首次检测到的。也是一个使用Python编写的黑客工具，上周SentinelOne的研究人员分享了相关细节。虽然FBot针对与Androxgh0st相同类型的云应用，但它并未利用Androxgh0st的代码，而是与在功能和设计上存在相似之处。