臭名昭著的 Mozi 僵尸网络曾一度被认为在执法行动后已基本失效，但现在又以一个强大的新形象重新出现：Androxgh0st。CloudSEK 的最新报告显示，Androxgh0st 集成了 Mozi 的物联网有效载荷，引发了对网络服务器和易受攻击的物联网设备的攻击。Androxgh0st 僵尸网络自 2024 年 1 月开始活跃，并扩大了其武器库，瞄准了一系列软件漏洞，包括思科 ASA、Atlassian JIRA 和 PHP 框架中的漏洞。

报告指出：“CloudSEK 的威胁研究团队发现了 Androxgh0st 僵尸网络的重大发展，揭示了它对多个漏洞的利用以及与 Mozi 僵尸网络的潜在业务整合。这种业务整合使 Androxgh0st 有能力利用网络应用程序漏洞和物联网特定漏洞。”

Androxgh0st 的独特作案手法结合了 Mozi 僵尸网络的技术和软件系统中的新漏洞。CloudSEK 的报告重点介绍了几个关键漏洞：

1. PHP 漏洞 (CVE-2017-9841)： Androxgh0st 以 PHPUnit 暴露的 /vendor 文件夹为目标，使用 eval-stdin.php 端点执行远程代码并建立后门访问。
2. Laravel 应用程序密钥漏洞（CVE-2018-15133）： 通过扫描暴露的 Laravel .env 文件，Androxgh0st 可以窃取应用程序凭据，并可能执行加密的 PHP 代码。
3. Apache 路径遍历（CVE-2021-41773）： 針對特定版本的 Apache，Androxgh0st 利用路徑遍歷來執行程式碼，並在未經授權的情況下存取檔案。

此外，Androxgh0st 还利用了 Cisco ASA、Sophos 防火墙和 WordPress 插件等广泛使用的平台中的最新漏洞。报告敦促企业修补这些漏洞，强调 “CloudSEK 建议立即修补这些漏洞，以降低与 Androxgh0st 僵尸网络相关的风险，该网络以系统性利用和持续后门访问而著称”。

虽然人们一度认为 Mozi 已经解体，但 Androxgh0st 在运行中使用 Mozi 有效载荷的情况表明事实并非如此。Androxgh0st 利用 Mozi 有据可查的物联网感染和传播方式，扩大了其覆盖范围和影响。报告指出，“Androxgh0st 不仅与 Mozi 合作，还将 Mozi 的特定功能……嵌入其标准操作集中，”从而扩大了 Androxgh0st 大规模入侵物联网设备的能力。

这两个僵尸网络似乎共享一个共同的指挥和控制（C2）基础设施，这表明可能是同一个威胁行为者在策划这场统一的行动。“CloudSEK的分析师解释说：”如果这两个僵尸网络使用相同的指挥基础设施，这表明它们在操作上高度整合。

按国家分列的僵尸网络 | 图片： 云SEK

到目前为止，Androxgh0st 已经感染了 500 多台设备，它的卷土重来让企业高度警惕。为了应对这一威胁，CloudSEK 的报告提供了一份全面的防御策略清单：

1. 检查异常网络请求日志： 查找带有意外参数的 HTTP 请求，如 wget 和 curl，这可能表明有人试图注入命令。
2. 定期更新软件： 确保所有物联网设备、服务器和软件平台都在运行最新的补丁程序，以防止利用已知漏洞。
3. 检查临时目录： Androxgh0st 通常使用 /tmp 和 /var/tmp 目录来存储恶意脚本。应标记这些目录中最近发生更改或具有可执行权限的文件，以便进一步检查。
4. 实施网络监控： 监控异常出站连接或大量出站流量，因为受感染的设备可能会参与僵尸网络活动或 DDoS 攻击。

CloudSEK 的发现强调了采取这些措施的紧迫性，并警告说，如果不采取行动，可能会被这个强大且不断演变的僵尸网络利用。