联邦调查局警告 AndroxGh0st 僵尸网络针对 AWS、Azure 和 Office 365 凭据

美国网络安全和基础设施安全局 （CISA） 和联邦调查局 （FBI） 警告说，部署 AndroxGh0st 恶意软件的威胁行为者正在创建一个僵尸网络，用于“目标网络中的受害者识别和利用”。

Lacework 于 2022 年 12 月首次记录了基于 Python 的恶意软件 AndroxGh0st，该恶意软件启发了 AlienFox、GreenBot（又名 Maintance）、Legion 和 Predator 等几个类似的工具。

云攻击工具能够渗透到易受已知安全漏洞影响的服务器，以访问 Laravel 环境文件并窃取 Amazon Web Services （AWS）、Microsoft Office 365、SendGrid 和 Twilio 等知名应用程序的凭据。

攻击者武器化的一些值得注意的漏洞包括 CVE-2017-9841 （PHPUnit）、CVE-2021-41773 （Apache HTTP Server） 和 CVE-2018-15133 （Laravel Framework）。

“AndroxGh0st 具有多种功能来支持 SMTP 滥用，包括扫描、利用暴露的凭据和 API，甚至部署 Web Shell，”Lacework 说。“具体到AWS，恶意软件会扫描和解析AWS密钥，但也能够为暴力攻击生成密钥。”

这些功能使 AndroxGh0st 成为一种强大的威胁，可用于下载额外的有效负载并保留对受感染系统的持久访问。

在SentinelOne披露了一种名为FBot的相关但不同的工具后不到一周，攻击者正在使用该工具来破坏Web服务器，云服务，内容管理系统（CMS）和SaaS平台。

在此之前，NETSCOUT 发出警报称，自 2023 年 11 月中旬以来，僵尸网络扫描活动大幅飙升，在 2024 年 1 月 5 日达到近 130 万台不同设备的峰值。大多数源 IP 地址与美国、中国、越南、台湾和俄罗斯相关联。

该公司表示：“对活动的分析发现，攻击者正在使用廉价或免费的云和托管服务器来创建僵尸网络启动台。“这些服务器通过试用、免费账户或低成本账户使用，这些账户提供匿名性和最少的维护开销。”

原文始发于微信公众号（HackSee）：联邦调查局警告 AndroxGh0st 僵尸网络针对 AWS、Azure 和 Office 365 凭据