AlienFox

وفقًا لباحثي Infosec ، يتم حاليًا توزيع مجموعة أدوات جديدة تسمى AlienFox عبر Telegram ، وهو تطبيق مراسلة شهير. تم تصميم مجموعة الأدوات لتمكين الجهات الفاعلة في التهديد من حصد بيانات الاعتماد من مفاتيح واجهة برمجة التطبيقات والبيانات الحساسة الأخرى من مختلف موفري الخدمات السحابية.

كشف التقرير الصادر عن خبراء الأمن السيبراني في SentinelOne ، أن برنامج AlienFox عبارة عن برنامج ضار معياري للغاية يتطور باستمرار مع ميزات جديدة وتحسينات في الأداء. يستخدم ممثلو التهديدات برنامج AlienFox لتحديد بيانات اعتماد الخدمة وجمعها من الخدمات المكشوفة أو التي تم تكوينها بشكل خاطئ. إذا وقعت الضحية فريسة لمثل هذه الهجمات ، فقد يؤدي ذلك إلى عدة عواقب ، مثل زيادة تكاليف الخدمة وفقدان ثقة العميل وتكاليف العلاج.

بالإضافة إلى ذلك ، يمكنه أيضًا فتح الأبواب لمزيد من الحملات الإجرامية حيث تتضمن أحدث إصدارات برنامج AlienFox مجموعة من البرامج النصية التي يمكنها أتمتة العمليات الضارة باستخدام بيانات الاعتماد المسروقة. على سبيل المثال ، هناك نص برمجي يسمح بتأسيس الثبات ، مما يعني أن المهاجم يمكنه الحفاظ على السيطرة على النظام المخترق حتى بعد إعادة التشغيل أو التحديث. يسهل نفس البرنامج النصي أيضًا تصعيد الامتيازات في حسابات AWS ، مما يوفر للمهاجم إمكانية وصول وتحكم أكبر.

علاوة على ذلك ، يمكن لأحد البرامج النصية المضمنة في برنامج AlienFox أتمتة حملات البريد العشوائي من خلال حسابات وخدمات الضحايا ، مما يتسبب في ضرر كبير لسمعة الضحية ويؤدي إلى خسائر مالية إضافية. بشكل عام ، من الواضح أن استخدام AlienFox من قبل مجرمي الإنترنت يمكن أن يكون له عواقب وخيمة وطويلة الأمد على الضحايا.

يحدد برنامج AlienFox مواقع مضيفين تم تكوينهم بشكل خاطئ

AlienFox هي أداة يستخدمها المهاجمون لجمع قوائم بالمضيفين الذين تم تكوينهم بشكل خاطئ عبر منصات المسح مثل LeakIX و SecurityTrails. من الجدير بالذكر أن هذه سمة شائعة بشكل متزايد بين مجموعات التهديد لأنها تميل إلى استخدام منتجات أمنية مشروعة ، مثل Cobalt Strike ، في عملياتها الخبيثة.

بمجرد تحديد المهاجمين للخوادم المعرضة للخطر ، يمكنهم استخدام مجموعة من البرامج النصية من مجموعة أدوات AlienFox لسرقة المعلومات الحساسة من الأنظمة الأساسية السحابية مثل Amazon Web Services و Microsoft Office 365. وتجدر الإشارة إلى أنه بينما يمكن الاستفادة من البرامج النصية من AlienFox ضد مجموعة من خدمات الويب ، وهي موجهة بشكل أساسي إلى خدمات استضافة البريد الإلكتروني المستندة إلى السحابة والبرامج كخدمة (SaaS).

ترتبط العديد من التكوينات الخاطئة التي يتم استغلالها بأطر عمل ويب شائعة مثل Laravel و Drupal و WordPress و OpenCart. تستخدم البرامج النصية من AlienFox تقنيات القوة الغاشمة لعناوين IP والشبكات الفرعية وواجهات برمجة تطبيقات الويب عندما يتعلق الأمر بمنصات استخبارات مفتوحة المصدر مثل SecurityTrails و LeakIX للتحقق من الخدمات السحابية وإنشاء قائمة بالأهداف.

بمجرد تحديد خادم ضعيف ، يتحرك المهاجمون لاستخراج المعلومات الحساسة. يستخدم مجرمو الإنترنت نصوصًا تستهدف الرموز المميزة والأسرار الأخرى من أكثر من اثنتي عشرة خدمة سحابية ، بما في ذلك AWS و Office 365 ، بالإضافة إلى Google Workspace و Nexmo و Twilio و OneSignal. من الواضح أن استخدام برنامج AlienFox من قبل المهاجمين يمكن أن يشكل تهديدًا كبيرًا للمؤسسات التي تعتمد على الخدمات السحابية في عملياتها.

لا تزال برامج AlienFox الضارة قيد التطوير النشط

تم تحديد ثلاثة إصدارات من برنامج AlienFox تعود إلى فبراير 2022 حتى الآن. تجدر الإشارة إلى أن بعض البرامج النصية التي تم العثور عليها تم تصنيفها على أنها عائلات للبرامج الضارة من قبل باحثين آخرين.

تستهدف كل مجموعة من مجموعات أدوات إساءة استخدام SES التي تم تحليلها الخوادم باستخدام إطار عمل Laravel PHP. قد تشير هذه الحقيقة إلى أن Laravel معرض بشكل خاص للتشكيلات الخاطئة أو التعرض.

من المثير للاهتمام ملاحظة أن برنامج AlienFox v4 منظم بشكل مختلف عن الآخرين. على سبيل المثال ، يتم تعيين معرف رقمي لكل أداة في هذا الإصدار ، مثل Tool1 و Tool2. تشير بعض الأدوات الجديدة إلى أن المطورين يحاولون جذب مستخدمين جدد أو زيادة ما يمكن أن تفعله مجموعات الأدوات الحالية. على سبيل المثال ، تقوم أداة واحدة بالتحقق من عناوين البريد الإلكتروني المرتبطة بحسابات البيع بالتجزئة في أمازون. إذا لم يتم العثور على مثل هذه الرسائل الإلكترونية ، فسيقوم البرنامج النصي بإنشاء حساب أمازون جديد باستخدام عنوان البريد الإلكتروني. هناك أداة أخرى تعمل على أتمتة بذور محفظة العملات المشفرة خصيصًا للبيتكوين والإيثريوم.

تسلط هذه النتائج الضوء على الطبيعة دائمة التطور لـ AlienFox وتطورها المتزايد. من الضروري أن تظل المنظمات يقظة وأن تتخذ التدابير اللازمة لتأمين أنظمتها ضد مثل هذه التهديدات.