1月16日，美國聯邦調查局 (FBI) 和網絡安全與基礎設施安全局 (CISA)發布了一份關于該惡意軟件的聯合公告，稱名為Androxgh0st 惡意軟件的幕后黑客正在創建一個強大的僵尸網絡。

Androxgh0st最早可以追溯到 2022 年 12 月，當時 Lacework 的研究人員發現該惡意軟件被用于竊取各種憑證，這些憑證來自很多主流應用，例如 Amazon Web Services、Microsoft Office 365、SendGrid 和 Twilio。

研究人員表示，由Androxgh0st 組建的僵尸網絡會搜索 .env 文件，這類文件通常被用來存儲憑證和令牌。惡意軟件還支持許多能夠濫用簡單郵件傳輸協議 (SMTP) 的功能，例如掃描和利用暴露的憑據和應用程序編程接口 (API) 以及 Web shell 部署。

此外，該惡意軟件還使用 Laravel 框架（一種用于開發 Web 應用程序的工具）漏洞搜索網站。一旦僵尸網絡發現又使用 Laravel 的網站，就會嘗試確定某些包含憑證的文件是否暴露。

而這框架一漏洞被追蹤為CVE-2018-15133，CISA于1月16日將該漏洞添加到其已知利用漏洞目錄中。美國聯邦民事機構必須在 2 月 6 日之前對其進行修補。

網絡安全專家約翰·史密斯（John Smith） 表示，AndroxGh0st 是云基礎設施面臨的威脅日益增長的另一個例子。

該惡意軟件用于加密劫持、垃圾郵件或惡意電子郵件活動，并利用 Web 應用程序中未修補的漏洞進行橫向移動，并通過創建帳戶和提升權限來維持持久性。

史密斯指出，由于 AndroxGh0st 正在利用暴露的 .env 文件和未修補的漏洞，因此建議用戶定期檢查和監控云環境是否存在任何暴露，并制定帶外修補策略。