Androxgh0st 劫持了多种网络应用和设备漏洞

关键要点

Androxgh0st 是一种恶意软件，它从过时的Mozi 僵尸网络中继承了多项漏洞利用能力。它不仅针对云服务凭证，还扩展到 IoT 设备，如家庭路由器。CloudSEK 报告指出，Androxgh0st 现已增加了九种新的漏洞利用能力，涉及多个知名技术。此恶意软件通过多种方式传播，包括常见的网络应用和数据库配置漏洞。

来源 DC Studio / Shutterstock

根据安全公司 CloudSEK 的最新报告，恶名昭彰的恶意软件 Androxgh0st 现在不仅窃取云凭证，还开始利用网络应用和服务器中的新漏洞，甚至开始攻击 IoT 设备，如家庭路由器。一些 IoT 漏洞显然是从已经被认为不再活动的中国僵尸网络 Mozi 中借用的。

自从 CISA 和 FBI 在1月发布了关于 Androxgh0st 的联合建议后，这个僵尸网络的操控者似乎整合了更多新的漏洞利用，除了针对 IoT 设备的漏洞之外，现在的目标还包括 Cisco ASA、Atlassian JIRA、Metabase GeoJSON、Oracle EBS 和 Sophos Firewall 等。

“这清晰地表明了僵尸网络操控者的活动增多，他们正针对多种网络应用漏洞以获取初步访问权限，此外还有 CISA 之前报告的三种 CVE 漏洞，”CloudSEK 研究人员表示。

Androxgh0st 正在窃取云服务凭证

Androxgh0st 是一种用 Python 编写的恶意软件，自 2022 年起活跃。它通过网络应用中的漏洞感染系统，然后建立后门访问。该恶意软件还会扫描服务器和数据库以获取凭证，以便进一步传播。

白鲸加速器下载

根据 CISA 在 1 月发布的建议，Androxgh0st 有三种传播方式。其中之一是通过 PHP 单元测试框架 PHPUnit 的已知远程代码执行漏洞 (CVE20179841)，该框架在开发者中相当流行。

第二种方法是扫描互联网寻找使用 Laravel Web 应用框架构建的应用程序，然后确认环境 (env) 文件是否可读且暴露。这些文件包含环境变量，包括各种云 API 和数据库的凭证。CISA 警告称攻击者尤其关注 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 的凭证。

此外，恶意软件还可以通过利用跨站请求伪造 (XSRF) 问题访问 Laravel 应用的访问密钥，从而实现远程代码执行。这个漏洞被追踪为 CVE201815133。

最后，恶意软件还针对某些版本的 Apache Web 服务器2449 或 2450进行了攻击，这些版本启用了公共网关接口 (CGI) 脚本，并且文件未能防护路径遍历攻击。这个配置问题可以被利用实现远程代码执行。

Androxgh0st 拥有新的漏洞利用能力

根据 CloudSEK 的消息，Androxgh0st 现在已经变得更加强大，并且增加了九种新的漏洞利用能力。尽管所有这些漏洞都是已知的，而且有些比较旧，它使得该恶意软件能够影响更加广泛的过时设备。

其中一个漏洞 (CVE20142120) 位于 Cisco ASA 设备的 WebVPN 登录页面，允许攻击者注入任意网页脚本和 HTML，导致任意文件上传和 PHP 文件的修改。

第二个漏洞是Atlassian的 Jira Software Server 的路径遍历问题。被追踪为 CVE202126086，这个