彭卡·赫里斯托夫斯卡
更新日期: 2024 年 1 月 17 日
美国网络机构周二表示,Androxgh0st 恶意软件背后的黑客正在创建一个能够从主要平台窃取云凭据的僵尸网络。
美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)发布了一份 联合咨询 根据正在进行的有关黑客使用恶意软件所采用策略的调查结果。
该恶意软件于 2022 年 XNUMX 月首次由 Lacework Labs 发现。
据这些机构称,黑客正在使用 Androxgh0st 创建一个僵尸网络,“用于目标网络中的受害者识别和利用”。僵尸网络会查找 .env 文件,网络犯罪分子经常将其作为目标,因为它们包含凭据和令牌。这些机构表示,这些凭证来自“备受瞩目的应用程序”,例如 Microsoft Office 365、SendGrid、Amazon Web Services 和 Twilio。
FBI 和 CISA 解释说:“Androxgh0st 恶意软件还支持许多能够滥用简单邮件传输协议 (SMTP) 的功能,例如扫描和利用暴露的凭据和应用程序编程接口 (API) 以及 Web shell 部署。”
该恶意软件用于旨在识别和定位具有特定漏洞的网站的活动。该僵尸网络使用 Laravel 框架(一种用于开发 Web 应用程序的工具)来搜索网站。一旦找到网站,黑客就会尝试确定某些文件是否可访问以及它们是否包含凭据。
CISA 和 FBI 的报告指出了 Laravel 中一个早已修补的严重漏洞,该漏洞被识别为 CVE-2018-15133,僵尸网络利用该漏洞来访问凭证,例如电子邮件(使用 SMTP)和 AWS 帐户等服务的用户名和密码。
“如果威胁行为者获得任何服务的凭据……他们可能会使用这些凭据访问敏感数据或使用这些服务进行其他恶意操作,”该公告写道。
“例如,当威胁行为者成功识别并破坏来自易受攻击网站的 AWS 凭证时,我们会观察到他们试图创建新用户和用户策略。此外,据观察,Andoxgh0st 参与者创建了新的 AWS 实例,用于进行额外的扫描活动。”各机构解释道。
