美國網路安全與基礎設施安全局 (CISA) 和聯邦調查局 (FBI)警告稱，部署AndroxGh0st惡意軟體的攻擊者正在建立一個殭屍網路，用於「在目標網路中識別和利用受害者」。AndroxGh0st是一種基於 Python 的惡意軟體， 於 2022 年 12 月首次被記錄。

此雲端攻擊工具能夠滲透易受已知安全漏洞影響的伺服器，以存取 Laravel 環境檔案並竊取 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等知名應用程式的憑證。

CISA 和 FBI 指出，該威脅還濫用簡單郵件傳輸協定 (SMTP) 進行掃描、利用被盜憑證和 API 以及 Web shell 部署。根據該通報，Androxgh0st 操作背後的網路犯罪分子也被發現使用腳本掃描特定漏洞的網站，其中包括CVE-2017-9841，這是一個 PHPUnit 漏洞，導致透過 HTTP POST 請求執行 PHP 程式碼。這些攻擊的目標是將 /vendor 資料夾暴露在網路上的網站。警報稱:「惡意行為者使用 Androxgh0st 將惡意檔案下載到託管網站的系統。威脅參與者還能夠設定可透過 URI 存取的虛假（非法）頁面，以提供對網站的後門存取。這使得威脅行為者能夠為其操作下載額外的惡意檔案並存取資料庫。」。

該通報稱，Androxgh0st 殭屍網路使用 Laravel 框架掃描網站，尋找包含附加服務憑證的公開在根目錄的.env檔案。然後惡發出請求以檢索儲存在這些文件中的敏感資訊。

「Androxgh0st 惡意軟體還可以存取網站上 Laravel 應用程式的應用程式金鑰。如果威脅者成功識別 Laravel 應用程式金鑰，他們將嘗試使用該金鑰加密 PHP 程式碼來進行利用。”

作為此活動的一部分，威脅行為者利用 CVE-2018-15133，這是一種不受信任資料的反序列化，允許他們將檔案上傳到易受攻擊的網站，CISA週二(1/16)將該安全漏洞添加到其已知遭濫用之漏洞清單(Known Exploited Vulnerabilities (KEV) catalog)中。

操作Androxgh0st的攻擊者也針對CVE-2021-41773，這是 Apache HTTP Server 版本 2.4.49 和 2.4.50 中的路徑遍歷，導致執行遠端程式碼。如果攻擊者使用上述方法獲得任何服務的憑證，他們可能會使用這些憑證存取敏感資料或使用這些服務進行其他惡意操作。

不到一週前，SentinelOne 揭露了一種名為FBot的相關但獨特的工具，攻擊者正在利用該工具來破壞 Web 伺服器、雲端服務、內容管理系統 (CMS) 和 SaaS 平台。表示：“雲端威脅格局將繼續借用其他工具的程式碼，並將它們整合到一個整體生態系統中，這就是我們看到的 AlienFox 和 Legion 分別與 AndroxGh0st 和 FBot 所做的事情。

“隨著攻擊者找到利用雲端服務獲利的新方法，我們預計會看到針對這些服務的定制工具的出現，就像這些工具專注於利用郵件服務進行垃圾郵件攻擊一樣。NETSCOUT 也發出警報，表示自 2023 年 11 月中旬以來殭屍網路掃描活動大幅增加，並於 2024 年 1 月 5 日達到近 130 萬個不同設備的峰值。大多數來源 IP 位址與美國、中國相關、越南、台灣、俄羅斯。

這些機構發布了與 Androxgh0st 惡意軟體操作相關的入侵指標(IoCs)以及建議的緩解措施，敦促組織盡快應用它們。除了更新作業系統、軟體和韌體之外，也要確保所有URI預設配置為拒絕所有請求，並且所有Laravel應用不應處於除錯或是測試模式。

Androxgh0st 惡意軟體的的部分入侵指標IoCs:

hxxps://mc.rockylinux[.]si/seoforce/triggers/files/evil.txt 59e90be75e51c86b4b9b69dcede2cf815da5a79f7e05cac27c95ec35294151f4 

hxxps://chainventures.co[.]uk/.well-known/aas

dcf8f640dd7cc27d2399cce96b1cf4b75e3b9f2dfdf19cee0a170e5a6d2ce6b6  hxxp://download.asyncfox[.]xyz/download/xmrig.x86_64 23fc51fde90d98daee27499a7ff94065f7ed4ac09c22867ebd9199e025dee066 

hxxps://pastebin[.]com/raw/zw0gAmpC ca45a14d0e88e4aa408a6ac2ee3012bf9994b16b74e3c66b588c7eabaaec4d72  hxxp://raw.githubusercontent[.]com/0x5a455553/MARIJUANA/master/MARIJUANA.php

。

週三，Google旗下的美國資安公司Mandiant 的 X（前身為 Twitter）帳號被身份不明的攻擊者入侵了六個多小時，以傳播加密貨幣騙局。駭客劫持了Mandiant的 X 帳號，並利用該帳號傳播了一個連結，試圖從點擊該帳號的人那裡竊取加密貨幣。該騙局虛假承諾向 25 萬名用戶免費提供 $PHNTM 代幣，甚至轉發真實 Phantom 帳號的貼文以顯得可信。

Mandiant在一份聲明中寫道：“我們意識到該事件影響了Mandiant的 X 帳號，並正在努力解決該問題。”“我們已經重新獲得了對該帳號的控制權，目前正在努力恢復它。”該聲明沒有回答有關該公司是否已確定該帳號是如何被盜用的問題。

目前尚不清楚該帳號是如何被盜用的，猜測是透過社群工程進行網路釣魚，或是利用社群媒體平台中的漏洞。

但據一直在監視事件的MalwareHunterTeam 的研究人員指出，被駭的 Mandiant帳號最初被重新命名為“@phantomsolw”，以冒充 Phantom 加密錢包服務。具體來說，該帳號的詐騙貼文宣傳了空投詐騙，敦促用戶點擊虛假連結並賺取免費代幣，隨後被駭的帳號後來被用來攻擊Mandiant，要求其更改密碼。但在許多情況下，社群媒體帳號劫持涉及濫用第三方服務，而不是直接攻擊帳號。Mandiant採取行動恢復帳號，但駭客在復原過程中一度重新獲得了控制權，MalwareHunterTeam指出考慮到一些 X 用戶在遭受駭客攻擊後花了幾天甚至更長的時間才重新完全控制其帳號，Mandiant 並沒有花很長時間來恢復該帳號。

Mandiant 並不是第一個帳號被劫持的知名組織或個人。2020 年亞馬遜創辦人 Jeff Bezos、微軟聯合創辦人Bill 、美國前總統歐巴馬和特斯拉執行長馬斯克（在他購買該網站之前）的帳號被接管以宣傳比特幣騙局。另外，加拿大參議員阿米娜·格巴 (Amina Gerba) 的 X 帳號也發生過類似的入侵事件，該帳號也被用來宣傳詐欺計劃。

這些攻擊的性質突顯了網路犯罪分子利用政府和商業機構的社群媒體平台進行加密貨幣詐騙的手段日益複雜。

截至撰寫本文時，Mandiant帳號已在社交媒體平台上恢復。