FBI示警！惡意軟體Androxgh0st暗中蠢動 提醒企業防範

記者／劉閔

美國聯邦調查局（FBI）以及網路安全暨基礎設施安全局（CISA）近日發出警告，一項名為 Androxgh0st 的惡意軟體已經暗中蠢動，並策劃建立殭屍網路來掃描系統弱點，進而在入侵電腦後進行遠端程式碼執行攻擊，竊取客戶資訊。對此，FBI 與 CISA 也提出建議，並協助企業可以緩解面臨這波惡意軟體的威脅。

惡意軟體針對漏洞 部署惡意程式

根據外媒報導，惡意軟體 Androxgh0st 主要是針對在 Laravel 網頁應用程式框架的 .env 檔案中所儲存的敏感資料，尤其是 AWS、Microsoft Office 365、SendGrid 以及 Twilio 等知名應用程式的憑證。除此之外，Androxgh0st 還具有「多功能性」，可以藉由濫用 SMTP 來執行像是掃描和利用暴露的憑證以及 API、透過部署 Web Shell 惡意程式等操作。

更多新聞：75%組織曾遭遇勒索軟體攻擊  資安技術必須多樣化及全方位

執行遠端程式碼攻擊 竊取敏感資訊

不僅如此，Androxgh0st 還能存取 Laravel 網站的應用金鑰。據了解，只要成功辨識出金鑰後攻擊者就可利用加密 PHP 程式碼，將加密程式碼作為跨站請求偽造（XSRF）令牌 Cookie 傳遞，執行遠端程式碼攻擊，而這種方法也讓攻擊者可透過遠端存取，並將檔案上傳至網站。目前得知這個攻擊手法只對 2.4.49 與 2.4.50 兩版本的 Apache HTTP 伺服器有效。

有鑑於此，FBI 以及 CISA 除了對企業發出警告外也提出幾點建議，包括要求更新作業系統、軟體和硬體，並且確保所有 URI 預設配置為「拒絕所有請求」、以及所有 Laravel 應用避免處於除錯或是測試模式；其次，還需定期檢查 .env 檔案中的平台和服務憑證。最後，也要掃描伺服器檔案系統，尋找陌生不認識的 PHP 檔案。

瀏覽 333 次