威胁组织利用Androxgh0st恶意軟體收集云凭据

今天小编分享的互联网经验：威胁组织利用Androxgh0st恶意軟體收集云凭据，欢迎阅读。

近日，美国联邦调查局（FBI）与网络安全和基础设施安全局（CISA）发布联合公告说道，有威胁组织在部署僵尸网络，利用 Androxgh0st 恶意軟體大搞破坏。这个恶意軟體能够收集云凭据（比如 AWS 或微软 Azure 等云服务的凭据），滥用简单邮件传输協定（SMTP），并扫描查找亚马逊简单电子邮件服务（ASES）参数。

Androxgh0st 恶意軟體简介

2022 年 12 月，云安全公司 Lacework 率先披露了 Androxgh0st 恶意軟體。该恶意軟體是用 Python 编写的，主要用于窃取 Laravel.env 檔案，而这个檔案含有常见应用程式的凭据之类的秘密信息。几个类似工具受到该恶意軟體的启发，比如 AlienFox、GreenBot（即 Maintance）、Legion 和 Predator。比如说，可能将应用程式和平台（比如 AWS、Microsoft Office 365、SendGrid 或 Twilio）集成到 Laravel 框架，所有应用程式的秘密信息都存储在这个 .env 檔案中。

Laravel 是一种开源 PHP Web 应用程式框架，许多开发人员使用该框架处理常见的 Web 开发任务，无需从零开始编写低级代码。Laravel.env 檔案之所以是一种很常见的攻击目标，是由于它们常常含有凭据及其他信息，攻击者可以利用这些信息来访问及滥用高价值应用程式，比如 AWS、Microsoft 365 和 Twilio。

僵尸网络搜索使用 Laravel web 应用程式框架的网站，随后确定其網域名的根级 .env 檔案是否暴露，是否含有访问其他服务的数据。.env 檔案中的数据可能是用户名、密码、令牌或其他凭据。

这不是该恶意代码实施的第一次重大活动；去年 3 月，网络安全公司飞塔公布了 Androxgh0st 的遥测数据，遥测数据显示超过 40000 台设备被这个僵尸网络感染（见图 1）。

图 1. 被 Androxgh0st 感染的设备数量（图片来源：飞塔）

FBI/CISA 的联合公告声称："Androxgh0st 恶意軟體还支持许多能够滥用简单邮件传输協定（SMTP）的功能，比如扫描和利用暴露的凭据和应用编程接口（API）以及 web shell 部署环境。"

Androxgh0st 恶意軟體如何利用旧漏洞

Androxgh0st 可以访问 Laravel 应用程式密钥。如果该密钥暴露并且可以访问，攻击者将尝试使用它，对作为 XSRF-TOKEN 变量值传递给网站的 PHP 代码进行加密。这是试图利用一些版本的 Laravel web 应用程式框架中的 CVE-2018-15133 漏洞，一旦得逞，攻击者就可以远程上传檔案到网站。CISA 将这个 CVE-2018-15133 Laravel 不可信数据反序列化漏洞添加到了其已知利用漏洞目录中。

安全研究人员还发现部署 Androxgh0st 的威胁组织利用了 CVE-2017-9841，这是 PHP 测试框架 PHPUnit 中的一个漏洞，允许攻击者在网站上执行远程代码。CVE-2021-41773 也被利用，Apache HTTP 伺服器中的这个漏洞允许攻击者在网站上执行远程代码。

Androxgh0st 恶意軟體发送垃圾邮件的目的

2022 年，acework 观察到的近三分之一的重大安全事件被认为是为了实施发送垃圾邮件或恶意电子邮件的活动，其中大部分活动是由 Androxgh0st 造成的。

该恶意軟體有多项功能可以滥用 SMTP，包括扫描亚马逊的简单电子邮件服务发送配额，可能是为了将来用于发送垃圾邮件。