Veriti Research揭露了Androxgh0st攻击激增的情况，这些攻击利用CVE漏洞并构建僵尸网络来窃取凭证。修补系统、监控Web shell并使用行为分析来保护自己。

Veriti Research发现Androxgh0st恶意软件家族运营商发起的攻击激增，发现600多台服务器受到威胁，主要分布在美国、印度和台湾。

根据Veriti的博客文章，Androxgh0st背后的对手的C2服务器被暴露，这可以通过暴露受影响的目标来进行反击。研究人员随后继续向受害者发出警报。

进一步研究显示，Androxgh0st运营商正在利用多个CVE（包括CVE-2021-3129和CVE-2024-1709）在易受攻击的服务器上部署Web shell，从而授予远程控制功能。此外，有证据表明活跃的Web shell与CVE-2019-2725相关。

自2022年12月首次被发现以来，一直在跟踪Androxgh0st的操作。该恶意软件运营商以部署Adhublika勒索软件而闻名，之前曾观察到与与Adhublika组织相关的IP地址进行通信。

Androxgh0st运营商更喜欢利用Laravel应用程序窃取AWS、SendGrid和Twilio等基于云的服务的凭证。他们利用Apache Web服务器和PHP框架中的漏洞，部署Webshel​​l来实现持久性。

然而。他们最近的重点似乎是构建僵尸网络以利用更多系统。最近，FBI和CISA发布了联合网络安全咨询(CSA)咨询，警告Androxgh0st构建僵尸网络以进行凭证盗窃并建立后门访问。

去年，Cado Security Ltd.披露了基于Python的凭证收集器和名为Legion的黑客工具的详细信息，该工具与AndroxGh0st恶意软件系列相关。Legion旨在利用电子邮件服务进行滥用。

Veriti的研究表明主动暴露管理和威胁情报在网络安全中的重要性。组织必须定期更新其安全措施，包括已知漏洞的补丁管理、强大的Web shell部署监控以及行为分析工具，以防止违规并防范类似漏洞。