Androxgh0st恶意软件危害全球服务器进行僵尸网络攻击

Veriti Research揭露了Androxgh0st攻击激增的情况,这些攻击利用CVE漏洞并构建僵尸网络来窃取凭证。修补系统、监控Web shell并使用行为分析来保护自己。

Veriti Research发现Androxgh0st恶意软件家族运营商发起的攻击激增,发现600多台服务器受到威胁,主要分布在美国、印度和台湾。

根据Veriti的博客文章,Androxgh0st背后的对手的C2服务器被暴露,这可以通过暴露受影响的目标来进行反击。研究人员随后继续向受害者发出警报。

进一步研究显示,Androxgh0st运营商正在利用多个CVE(包括CVE-2021-3129和CVE-2024-1709)在易受攻击的服务器上部署Web shell,从而授予远程控制功能。此外,有证据表明活跃的Web shell与CVE-2019-2725相关。

自2022年12月首次被发现以来,一直在跟踪Androxgh0st的操作。该恶意软件运营商以部署Adhublika勒索软件而闻名,之前曾观察到与与Adhublika组织相关的IP地址进行通信。

Androxgh0st运营商更喜欢利用Laravel应用程序窃取AWS、SendGrid和Twilio等基于云的服务的凭证。他们利用Apache Web服务器和PHP框架中的漏洞,部署Webshel​​l来实现持久性。

然而。他们最近的重点似乎是构建僵尸网络以利用更多系统。最近,FBI和CISA发布了联合网络安全咨询(CSA)咨询,警告Androxgh0st构建僵尸网络以进行凭证盗窃并建立后门访问。

去年,Cado Security Ltd.披露了基于Python的凭证收集器和名为Legion的黑客工具的详细信息,该工具与AndroxGh0st恶意软件系列相关。Legion旨在利用电子邮件服务进行滥用。

Veriti的研究表明主动暴露管理和威胁情报在网络安全中的重要性。组织必须定期更新其安全措施,包括已知漏洞的补丁管理、强大的Web shell部署监控以及行为分析工具,以防止违规并防范类似漏洞。

发表评论

评论已关闭。

相关文章