1月16日，美國聯(lián)邦調(diào)查局 (FBI) 和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA)發(fā)布了一份關(guān)于該惡意軟件的聯(lián)合公告，稱名為Androxgh0st 惡意軟件的幕后黑客正在創(chuàng)建一個強(qiáng)大的僵尸網(wǎng)絡(luò)。

Androxgh0st最早可以追溯到 2022 年 12 月，當(dāng)時 Lacework 的研究人員發(fā)現(xiàn)該惡意軟件被用于竊取各種憑證，這些憑證來自很多主流應(yīng)用，例如 Amazon Web Services、Microsoft Office 365、SendGrid 和 Twilio。

研究人員表示，由Androxgh0st 組建的僵尸網(wǎng)絡(luò)會搜索 .env 文件，這類文件通常被用來存儲憑證和令牌。惡意軟件還支持許多能夠?yàn)E用簡單郵件傳輸協(xié)議 (SMTP) 的功能，例如掃描和利用暴露的憑據(jù)和應(yīng)用程序編程接口 (API) 以及 Web shell 部署。

此外，該惡意軟件還使用 Laravel 框架（一種用于開發(fā) Web 應(yīng)用程序的工具）漏洞搜索網(wǎng)站。一旦僵尸網(wǎng)絡(luò)發(fā)現(xiàn)又使用 Laravel 的網(wǎng)站，就會嘗試確定某些包含憑證的文件是否暴露。

而這框架一漏洞被追蹤為CVE-2018-15133，CISA于1月16日將該漏洞添加到其已知利用漏洞目錄中。美國聯(lián)邦民事機(jī)構(gòu)必須在 2 月 6 日之前對其進(jìn)行修補(bǔ)。

網(wǎng)絡(luò)安全專家約翰·史密斯（John Smith） 表示，AndroxGh0st 是云基礎(chǔ)設(shè)施面臨的威脅日益增長的另一個例子。

該惡意軟件用于加密劫持、垃圾郵件或惡意電子郵件活動，并利用 Web 應(yīng)用程序中未修補(bǔ)的漏洞進(jìn)行橫向移動，并通過創(chuàng)建帳戶和提升權(quán)限來維持持久性。

史密斯指出，由于 AndroxGh0st 正在利用暴露的 .env 文件和未修補(bǔ)的漏洞，因此建議用戶定期檢查和監(jiān)控云環(huán)境是否存在任何暴露，并制定帶外修補(bǔ)策略。