AndroxGh0st恶意软件最初于2022年12月被报道。FBI和CISA联合发布了安全公告,警告AndroxGh0st恶意软件带来的日益严重的威胁。该恶意软件的运营商正在积极构建僵尸网络,目的是进行凭证盗窃和建立后门访问。


FBI和网络安全与基础设施安全局(CISA)发布了联合网络安全通报(CSA),显示Androxgh0st恶意软件运营商正试图创建一个强大的僵尸网络,用于目标网络中的受害者识别和利用。


值得注意的是,AndroxGh0st恶意软件最初于2022年12月被报道。此后,网络犯罪分子继续在同一家族中提供恶意软件变体。值得注意的是,Legion恶意软件就是这样的一个例子,它以其凭证收集和短信劫持的能力而闻名。


根据该 通报,该恶意软件的目标是包含敏感信息的.env文件,例如使用Python脚本技术的Amazon Web Services Inc.、Microsoft Office 365、SendGrid和Twilio等知名应用程序的云凭据。


Androxgh0st还支持滥用简单邮件传输协议的功能,例如扫描/利用凭据。它利用Web应用程序和服务器中的漏洞,特别是那些使用Laravel框架和PHPUnit以及某些版本的Apache HTTP Server的漏洞。


威胁行为者一直在利用严重漏洞,例如CVE-2017-9841(允许通过PHPUnit远程执行PHP代码)和CVE-2021-41773(影响运行版本2.4.49或2.4.50的Apache Web服务器)。


Androxgh0st恶意软件TTP涉及脚本、扫描和搜索具有特定漏洞的网站。威胁参与者利用CVE-2017-9841通过PHPUnit在易出错的网站上远程运行PHP代码。


此外,具有暴露/vendor文件夹的网站容易受到对/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php统一资源标识符的恶意HTTP POST请求。威胁行为者使用Androxgh0st下载恶意文件并设置虚假页面进行后门访问,从而允许他们下载其他恶意文件并访问数据库。


Androxgh0st恶意软件创建僵尸网络,使用Laravel Web应用程序框架扫描和识别网站,确定域的root-level.env文件是否暴露。如果暴露,它们会向/.env URI发出GET请求,或使用包含发送到Web服务器的数据的POST变量发出POST请求。此方法用于调试模式下的网站,其中非生产网站暴露于互联网。


成功的响应允许威胁行为者查找电子邮件和AWS帐户等服务的用户名、密码和凭证。该恶意软件可以访问网站上的Laravel应用程序密钥,使攻击者能够加密PHP代码并将其作为跨站伪造请求(XSRF)令牌cookie中的值传递,从而允许通过CVE-2018远程执行代码和远程文件上传CVE-2018-15133漏洞。


关于CVE-2021-41773,Androxgh0st操作员扫描运行Apache HTTP Server版本2.4.49或2.4.50的易受攻击的Web服务器,通过路径遍历攻击识别根目录之外的文件的统一资源定位器。他们可以获取服务凭证、访问敏感数据并进行恶意操作。据观察,他们创建了新用户和策略并进行了额外的扫描活动。


为了打击恶意网络活动,请优先修补面向互联网的系统中被利用的漏洞,确保仅将必要的服务器和服务暴露于互联网,并使用.env文件中列出的凭据检查平台/服务是否存在未经授权的访问或使用。


为了深入了解最新的安全建议,我们联系了Conversant Group首席执行官John A. Smith 。“CISA咨询提供了非常有帮助的妥协指标。我们还建议,一分预防胜于一分治疗——因为AndroxGh0st正在利用暴露的.env文件和未修补的漏洞,因此最好定期检查和监控云环境中的任何暴露情况,并制定非常积极的策略用于带外修补。”