AlienFox

Според изследователите на infosec нов набор от инструменти, наречен AlienFox, в момента се разпространява чрез Telegram, популярно приложение за съобщения. Наборът от инструменти е предназначен да позволи на участниците в заплахите да събират идентификационни данни от API ключове и други чувствителни данни от различни доставчици на облачни услуги.

Докладът, публикуван от експертите по киберсигурност в SentinelOne, разкрива, че AlienFox е силно модулен зловреден софтуер, който непрекъснато се развива с нови функции и подобрения в производителността. Актьорите на заплахи използват AlienFox за идентифициране и събиране на идентификационни данни за услуги от разкрити или неправилно конфигурирани услуги. Ако жертва стане жертва на такива атаки, това може да доведе до няколко последствия, като повишени разходи за обслужване, загуба на доверие на клиента и разходи за отстраняване.

В допълнение, той може също така да отвори вратите за по-нататъшни престъпни кампании, тъй като най-новите версии на AlienFox включват набор от скриптове, които могат да автоматизират злонамерени операции, използвайки откраднатите идентификационни данни. Например, има скрипт, който позволява установяването на постоянство, което означава, че атакуващият може да запази контрола върху компрометираната система дори след рестартиране или актуализация. Същият скрипт също така улеснява ескалацията на привилегии в AWS акаунти, като по този начин предоставя на атакуващия по-голям достъп и контрол.

Освен това, един от скриптовете, включени в AlienFox, може да автоматизира спам кампании чрез акаунти и услуги на жертвите, като по този начин причинява значителна вреда на репутацията на жертвата и води до допълнителни финансови загуби. Като цяло е очевидно, че използването на AlienFox от киберпрестъпници може да има сериозни и дълготрайни последици за жертвите.

AlienFox открива неправилно конфигурирани хостове

AlienFox е инструмент, който атакуващите използват за събиране на списъци с неправилно конфигурирани хостове чрез платформи за сканиране като LeakIX и SecurityTrails. Трябва да се отбележи, че това е все по-често срещана черта сред групите за заплаха, тъй като те са склонни да използват законни продукти за сигурност, като Cobalt Strike, в своите злонамерени операции.

След като атакуващите са идентифицирали уязвимите сървъри, те могат да използват набор от скриптове от инструментариума на AlienFox, за да откраднат чувствителна информация от облачни платформи като Amazon Web Services и Microsoft Office 365. Струва си да се отбележи, че докато скриптовете на AlienFox могат да бъдат използвани срещу набор от уеб услуги, те са насочени основно към услуги за хостинг на електронна поща, базирани на облак и софтуер като услуга (SaaS).

Много от грешните конфигурации, които се използват, са свързани с популярни уеб рамки като Laravel, Drupal, WordPress и OpenCart. Скриптовете AlienFox използват техники за груба сила за IP адреси и подмрежи и уеб API, когато става въпрос за разузнавателни платформи с отворен код като SecurityTrails и LeakIX, за да проверяват за облачни услуги и да генерират списък с цели.

След като бъде идентифициран уязвим сървър, нападателите влизат, за да извлекат чувствителна информация. Киберпрестъпниците използват скриптове, насочени към токени и други тайни от над дузина облачни услуги, включително AWS и Office 365, както и Google Workspace, Nexmo, Twilio и OneSignal. Очевидно е, че използването на AlienFox от нападателите може да представлява значителна заплаха за организациите, които разчитат на облачни услуги за своите операции.

Зловреден софтуер AlienFox все още е в процес на активно разработване

До момента са идентифицирани три версии на AlienFox, датиращи от февруари 2022 г. Струва си да се отбележи, че някои от намерените скриптове са маркирани като фамилии злонамерен софтуер от други изследователи.

Всеки от анализираните набори от инструменти, злоупотребяващи със SES, е насочен към сървъри, използващи PHP рамката на Laravel. Този факт може да подскаже, че Laravel е особено податлив на неправилни конфигурации или експозиции.

Интересно е да се отбележи, че AlienFox v4 е организиран по различен начин от останалите. Например, на всеки инструмент в тази версия е присвоен цифров идентификатор, като Tool1 и Tool2. Някои от новите инструменти предполагат, че разработчиците се опитват да привлекат нови потребители или да разширят това, което съществуващите набори от инструменти могат да направят. Например, един инструмент проверява за имейл адреси, свързани с акаунти на дребно в Amazon. Ако не бъдат намерени такива имейли, скриптът ще създаде нов акаунт в Amazon, използвайки имейл адреса. Друг инструмент автоматизира началните стойности на портфейла за криптовалута специално за Bitcoin и Ethereum.

Тези констатации подчертават непрекъснато развиващия се характер на AlienFox и нарастващата му сложност. Наложително е организациите да останат бдителни и да предприемат необходимите мерки, за да защитят своите системи срещу подобни заплахи.