联邦调查局警告：Androxgh0st僵尸网络正在窃取云证书

Androxgh0st最初被Lacework实验室识别于2022年，其被鉴定为是一种Python脚本恶意软件，旨在渗透、利用各种网络框架和服务器中的漏洞，国外安全专家指出，其主要针对存储于敏感云凭据中的.env文件。

Androxgh0st扫描会使用较旧版本PHPUnit、PHP web框架、Apache web服务器中的网站，这些网站具有已知的远程代码执行（RCE）漏洞。

根据Lacework Labs的分析，大约68%Androxgh0st恶意软件的SMTP滥用源于Windows系统，87%的攻击是通过Python执行的。CISA对此表示，恶意软件的一个明显迹象是对特定服务器位置进行异常网络请求，而一旦识别出有漏洞的系统，Androxgh0st就会从.env文件中提取凭据，这些文件通常包含亚马逊网络服务（AWS）、Microsoft Office 365、SendGrid和Twilio等知名应用程序的访问密钥。

该恶意软件还可以通过使用受损的AWS凭据创建新用户进行自我复制，从而扩大其覆盖范围，并同时在互联网上扫描更易受攻击的目标。

CISA和联邦调查局鼓励服务提供商更新其Apache版本，定期审查.env文件中存储的云凭据，并需要设置服务器自动拒绝任何访问资源的请求。

根据专家的说法，组织中普遍存在补丁管理不善的问题，以及组织会运行大量的过时软件，这些都是这种恶意软件迅速传播的原因。根据Fortiguard的数据显示，在1月初，有近5万台设备被感染，目前这一数字已降至9300台左右。

除了窃取凭据以发起垃圾邮件活动外，攻击者还可以使用凭据从服务中获取个人身份信息（PII）。

举个例子，比如不良行为者的目标不是存储在离线钱包中的数字资产，而是存储在SendGrid和Twilio等第三方服务中的用户PII。此时，汇编这些数据的不良行为者可以利用这些数据建立被称为“fullz”的档案，其中也包含了窃取身份和开立信用额度所需的所有个人信息，或者不良行为者可以利用这些数据进行复杂的网络钓鱼攻击，利用窃取的数据建立可信的叙述。