AndroxGh0st恶意软件活跃攻击分析报告

威胁信号报告 | FortiGuard实验室

描述

FortiGuard实验室已知AndroxGh0st恶意软件在野外被积极使用，主要针对包含各种高知名度应用程序（如AWS、O365、SendGrid和Twilio）凭证的机密信息的Laravel Web应用程序框架中的.env文件。

为何重要？

这很重要，因为AndroxGh0st恶意软件在野外被积极使用，目标是包含敏感信息（如AWS、O365、SendGrid和Twilio的凭证）的Laravel .env文件。FortiGuard实验室观察到在野外，AndroxGh0st恶意软件每天尝试攻击超过40,000台Fortinet设备。

什么是AndroxGh0st恶意软件？

AndroxGh0st是一种Python恶意软件，旨在从Laravel应用程序中搜索和提取.env文件。AndroxGh0st支持多种功能以滥用SMTP，例如扫描和利用暴露的凭证和API，以及部署Web shell。

防护状态如何？

FortiGuard Labs已为已知的AndroxGh0st恶意软件样本部署了以下AV签名：

• Python/AndroxGhost.A!tr
• Python/AndroxGhost.HACK!tr
• PHP/AndroxGhost.AZZA!tr
• W32/AndroxGhost.HACK!tr
• W32/AndroxGhost.BEAE!tr
• MSIL/AndroxGhost.HACK!tr

FortiGuard Labs已为AndroxGh0st部署了以下IPS签名：

• AndroxGh0st.Malware

附加资源

• AndroxGh0st.Malware (Fortinet)

数据统计

• 发布日期：2023年3月17日
• 标签：威胁信号
• 威胁行为者类型：未知
• 入侵防护统计：过去24小时检测到21,062次AndroxGh0st恶意软件攻击，趋势下降28%