AndroxGh0st恶意软件最初于2022年12月被报道。FBI和CISA联合发布了安全公告，警告AndroxGh0st恶意软件带来的日益严重的威胁。该恶意软件的运营商正在积极构建僵尸网络，目的是进行凭证盗窃和建立后门访问。

FBI和网络安全与基础设施安全局(CISA)发布了联合网络安全通报(CSA)，显示Androxgh0st恶意软件运营商正试图创建一个强大的僵尸网络，用于目标网络中的受害者识别和利用。

值得注意的是，AndroxGh0st恶意软件最初于2022年12月被报道。此后，网络犯罪分子继续在同一家族中提供恶意软件变体。值得注意的是，Legion恶意软件就是这样的一个例子，它以其凭证收集和短信劫持的能力而闻名。

根据该 通报，该恶意软件的目标是包含敏感信息的.env文件，例如使用Python脚本技术的Amazon Web Services Inc.、Microsoft Office 365、SendGrid和Twilio等知名应用程序的云凭据。

Androxgh0st还支持滥用简单邮件传输协议的功能，例如扫描/利用凭据。它利用Web应用程序和服务器中的漏洞，特别是那些使用Laravel框架和PHPUnit以及某些版本的Apache HTTP Server的漏洞。

威胁行为者一直在利用严重漏洞，例如CVE-2017-9841（允许通过PHPUnit远程执行PHP代码）和CVE-2021-41773（影响运行版本2.4.49或2.4.50的Apache Web服务器）。

Androxgh0st恶意软件TTP涉及脚本、扫描和搜索具有特定漏洞的网站。威胁参与者利用CVE-2017-9841通过PHPUnit在易出错的网站上远程运行PHP代码。

此外，具有暴露/vendor文件夹的网站容易受到对/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php统一资源标识符的恶意HTTP POST请求。威胁行为者使用Androxgh0st下载恶意文件并设置虚假页面进行后门访问，从而允许他们下载其他恶意文件并访问数据库。

Androxgh0st恶意软件创建僵尸网络，使用Laravel Web应用程序框架扫描和识别网站，确定域的root-level.env文件是否暴露。如果暴露，它们会向/.env URI发出GET请求，或使用包含发送到Web服务器的数据的POST变量发出POST请求。此方法用于调试模式下的网站，其中非生产网站暴露于互联网。

成功的响应允许威胁行为者查找电子邮件和AWS帐户等服务的用户名、密码和凭证。该恶意软件可以访问网站上的Laravel应用程序密钥，使攻击者能够加密PHP代码并将其作为跨站伪造请求(XSRF)令牌cookie中的值传递，从而允许通过CVE-2018远程执行代码和远程文件上传CVE-2018-15133漏洞。

关于CVE-2021-41773，Androxgh0st操作员扫描运行Apache HTTP Server版本2.4.49或2.4.50的易受攻击的Web服务器，通过路径遍历攻击识别根目录之外的文件的统一资源定位器。他们可以获取服务凭证、访问敏感数据并进行恶意操作。据观察，他们创建了新用户和策略并进行了额外的扫描活动。

为了打击恶意网络活动，请优先修补面向互联网的系统中被利用的漏洞，确保仅将必要的服务器和服务暴露于互联网，并使用.env文件中列出的凭据检查平台/服务是否存在未经授权的访问或使用。

为了深入了解最新的安全建议，我们联系了Conversant Group首席执行官John A. Smith 。“CISA咨询提供了非常有帮助的妥协指标。我们还建议，一分预防胜于一分治疗——因为AndroxGh0st正在利用暴露的.env文件和未修补的漏洞，因此最好定期检查和监控云环境中的任何暴露情况，并制定非常积极的策略用于带外修补。”