Veriti Research揭露了Androxgh0st攻击激增的情况,这些攻击利用CVE漏洞并构建僵尸网络来窃取凭证。修补系统、监控Web shell并使用行为分析来保护自己。
Veriti Research发现Androxgh0st恶意软件家族运营商发起的攻击激增,发现600多台服务器受到威胁,主要分布在美国、印度和台湾。
根据Veriti的博客文章,Androxgh0st背后的对手的C2服务器被暴露,这可以通过暴露受影响的目标来进行反击。研究人员随后继续向受害者发出警报。
进一步研究显示,Androxgh0st运营商正在利用多个CVE(包括CVE-2021-3129和CVE-2024-1709)在易受攻击的服务器上部署Web shell,从而授予远程控制功能。此外,有证据表明活跃的Web shell与CVE-2019-2725相关。
自2022年12月首次被发现以来,一直在跟踪Androxgh0st的操作。该恶意软件运营商以部署Adhublika勒索软件而闻名,之前曾观察到与与Adhublika组织相关的IP地址进行通信。
Androxgh0st运营商更喜欢利用Laravel应用程序窃取AWS、SendGrid和Twilio等基于云的服务的凭证。他们利用Apache Web服务器和PHP框架中的漏洞,部署Webshell来实现持久性。
然而。他们最近的重点似乎是构建僵尸网络以利用更多系统。最近,FBI和CISA发布了联合网络安全咨询(CSA)咨询,警告Androxgh0st构建僵尸网络以进行凭证盗窃并建立后门访问。
去年,Cado Security Ltd.披露了基于Python的凭证收集器和名为Legion的黑客工具的详细信息,该工具与AndroxGh0st恶意软件系列相关。Legion旨在利用电子邮件服务进行滥用。
Veriti的研究表明主动暴露管理和威胁情报在网络安全中的重要性。组织必须定期更新其安全措施,包括已知漏洞的补丁管理、强大的Web shell部署监控以及行为分析工具,以防止违规并防范类似漏洞。
评论已关闭。