AlienFox

Podle výzkumníků společnosti Infosec je v současné době distribuována nová sada nástrojů s názvem AlienFox prostřednictvím oblíbené aplikace pro zasílání zpráv Telegram. Sada nástrojů je navržena tak, aby umožnila aktérům hrozeb získávat přihlašovací údaje z klíčů API a dalších citlivých dat od různých poskytovatelů cloudových služeb.

Zpráva zveřejněná odborníky na kybernetickou bezpečnost ze společnosti SentinelOne odhaluje, že AlienFox je vysoce modulární malware, který se neustále vyvíjí s novými funkcemi a vylepšeními výkonu. Aktéři hrozeb používají AlienFox k identifikaci a shromažďování přihlašovacích údajů služby z odhalených nebo špatně nakonfigurovaných služeb. Pokud se oběť stane obětí takových útoků, může to vést k několika důsledkům, jako jsou zvýšené náklady na služby, ztráta důvěry zákazníků a náklady na nápravu.

Kromě toho může také otevřít dveře pro další kriminální kampaně, protože nejnovější verze AlienFox obsahují řadu skriptů, které mohou automatizovat škodlivé operace pomocí ukradených přihlašovacích údajů. Existuje například skript, který umožňuje nastolení perzistence, což znamená, že útočník si může udržet kontrolu nad napadeným systémem i po restartu nebo aktualizaci. Stejný skript také usnadňuje eskalaci oprávnění v účtech AWS, čímž poskytuje útočníkovi větší přístup a kontrolu.

Navíc jeden ze skriptů obsažených v AlienFox může automatizovat spamové kampaně prostřednictvím účtů a služeb obětí, a tím způsobit značné poškození pověsti oběti a vést k dalším finančním ztrátám. Celkově je evidentní, že použití AlienFox kyberzločinci může mít pro oběti vážné a dlouhodobé následky.

AlienFox najde špatně nakonfigurované hostitele

AlienFox je nástroj, který útočníci používají ke shromažďování seznamů špatně nakonfigurovaných hostitelů prostřednictvím skenovacích platforem jako LeakIX a SecurityTrails. Je pozoruhodné, že se jedná o stále častější rys mezi skupinami hrozeb, protože mají tendenci používat legitimní bezpečnostní produkty, jako je Cobalt Strike, ve svých škodlivých operacích.

Jakmile útočníci identifikují zranitelné servery, mohou použít řadu skriptů ze sady nástrojů AlienFox k odcizení citlivých informací z cloudových platforem, jako jsou Amazon Web Services a Microsoft Office 365. Stojí za zmínku, že zatímco skripty AlienFox lze využít proti řadu webových služeb, jsou primárně zaměřeny na cloudové a e-mailové hostingové služby Software-as-a-Service (SaaS).

Mnoho chybných konfigurací, které jsou zneužity, je spojeno s populárními webovými frameworky, jako jsou Laravel, Drupal, WordPress a OpenCart. Skripty AlienFox využívají techniky hrubé síly pro IP a podsítě a webová rozhraní API, pokud jde o open-source zpravodajské platformy, jako je SecurityTrails a LeakIX, ke kontrole cloudových služeb a generování seznamu cílů.

Jakmile je identifikován zranitelný server, útočníci se přesunou, aby získali citlivé informace. Kyberzločinci používají skripty zaměřené na tokeny a další tajemství z více než tuctu cloudových služeb, včetně AWS a Office 365, a také Google Workspace, Nexmo, Twilio a OneSignal. Je evidentní, že použití AlienFox útočníky může představovat významnou hrozbu pro organizace, které při svých operacích spoléhají na cloudové služby.

Malware AlienFox je stále v aktivním vývoji

Dosud byly identifikovány tři verze AlienFox sahající až do února 2022. Stojí za zmínku, že některé nalezené skripty byly jinými výzkumníky označeny jako rodiny malwaru.

Každá ze sad nástrojů zneužívajících SES, které byly analyzovány, se zaměřuje na servery využívající framework Laravel PHP. Tato skutečnost může naznačovat, že Laravel je zvláště náchylný k chybné konfiguraci nebo expozici.

Je zajímavé poznamenat, že AlienFox v4 je organizován jinak než ostatní. Například každému nástroji v této verzi je přiřazen číselný identifikátor, jako je Tool1 a Tool2. Některé z nových nástrojů naznačují, že se vývojáři snaží přilákat nové uživatele nebo rozšířit to, co dokážou stávající sady nástrojů. Jeden nástroj například kontroluje e-mailové adresy propojené s maloobchodními účty Amazon. Pokud nejsou žádné takové e-maily nalezeny, skript vytvoří nový účet Amazon pomocí e-mailové adresy. Další nástroj automatizuje semena kryptoměnové peněženky speciálně pro Bitcoin a Ethereum.

Tato zjištění zdůrazňují neustále se vyvíjející povahu AlienFox a jeho rostoucí sofistikovanost. Je nezbytné, aby organizace zůstaly ostražité a přijaly nezbytná opatření k zabezpečení svých systémů proti takovým hrozbám.