AlienFox

Ifølge infosec-forskere bliver et nyt værktøjssæt ved navn AlienFox i øjeblikket distribueret via Telegram, en populær beskedapp. Værktøjssættet er designet til at gøre det muligt for trusselsaktører at høste legitimationsoplysninger fra API-nøgler og andre følsomme data fra forskellige cloud-tjenesteudbydere.

Rapporten udgivet af cybersikkerhedseksperterne hos SentinelOne afslører, at AlienFox er en meget modulær malware, der løbende udvikler sig med nye funktioner og ydeevneforbedringer. Trusselaktører bruger AlienFox til at identificere og indsamle serviceoplysninger fra eksponerede eller forkert konfigurerede tjenester. Hvis et offer bliver offer for sådanne angreb, kan det føre til flere konsekvenser, såsom øgede serviceomkostninger, tab af kundetillid og afhjælpningsomkostninger.

Derudover kan det også åbne dørene for yderligere kriminelle kampagner, da de seneste versioner af AlienFox indeholder en række scripts, der kan automatisere ondsindede operationer ved hjælp af de stjålne legitimationsoplysninger. For eksempel er der et script, der giver mulighed for etablering af persistens, hvilket betyder, at angriberen kan bevare kontrollen over det kompromitterede system selv efter en genstart eller opdatering. Det samme script letter også privilegieeskalering i AWS-konti og giver derved angriberen større adgang og kontrol.

Ydermere kan et af de scripts, der er inkluderet i AlienFox, automatisere spamkampagner gennem offerkonti og -tjenester, og derved forårsage betydelig skade på ofrets omdømme og føre til yderligere økonomiske tab. Samlet set er det tydeligt, at cyberkriminelles brug af AlienFox kan have alvorlige og langvarige konsekvenser for ofrene.

AlienFox lokaliserer forkert konfigurerede værter

AlienFox er et værktøj, som angribere bruger til at indsamle lister over forkert konfigurerede værter via scanningsplatforme som LeakIX og SecurityTrails. Det er bemærkelsesværdigt, at dette er et stadig mere almindeligt træk blandt trusselsgrupper, da de har tendens til at bruge legitime sikkerhedsprodukter, såsom Cobalt Strike, i deres ondsindede operationer.

Når først angriberne har identificeret de sårbare servere, kan de bruge en række scripts fra AlienFox-værktøjssættet til at stjæle følsom information fra cloud-platforme som Amazon Web Services og Microsoft Office 365. Det er værd at bemærke, at selvom AlienFox-scripts kan udnyttes mod en række webtjenester, de er primært målrettet mod cloud-baserede og Software-as-a-Service (SaaS) e-mail-hostingtjenester.

Mange af de fejlkonfigurationer, der udnyttes, er forbundet med populære web-frameworks såsom Laravel, Drupal, WordPress og OpenCart. AlienFox-scripts bruger brute-force-teknikker til IP'er og undernet og web-API'er, når det kommer til open source-intelligensplatforme som SecurityTrails og LeakIX til at tjekke for cloud-tjenester og generere en liste over mål.

Når en sårbar server er identificeret, rykker angriberne ind for at udtrække følsomme oplysninger. De cyberkriminelle bruger scripts rettet mod tokens og andre hemmeligheder fra over et dusin skytjenester, inklusive AWS og Office 365, samt Google Workspace, Nexmo, Twilio og OneSignal. Det er tydeligt, at angriberes brug af AlienFox kan udgøre en betydelig trussel mod organisationer, der er afhængige af cloud-tjenester til deres operationer.

AlienFox Malware er stadig under aktiv udvikling

Tre versioner af AlienFox, der går tilbage til februar 2022, er indtil videre blevet identificeret. Det er værd at påpege, at nogle af de fundne scripts er blevet mærket som malware-familier af andre forskere.

Hvert af de SES-misbrugende værktøjssæt, der blev analyseret, målretter mod servere ved hjælp af Laravel PHP-rammeværket. Dette faktum kan tyde på, at Laravel er særligt modtagelig over for fejlkonfigurationer eller eksponeringer.

Det er interessant at bemærke, at AlienFox v4 er organiseret anderledes end de andre. For eksempel er hvert værktøj i denne version tildelt en numerisk identifikator, såsom Tool1 og Tool2. Nogle af de nye værktøjer tyder på, at udviklerne forsøger at tiltrække nye brugere eller udvide, hvad eksisterende værktøjssæt kan gøre. Et værktøj kontrollerer for eksempel for e-mailadresser, der er knyttet til Amazon-detailkonti. Hvis der ikke findes sådanne e-mails, vil scriptet oprette en ny Amazon-konto ved hjælp af e-mailadressen. Et andet værktøj automatiserer cryptocurrency wallet frø specifikt til Bitcoin og Ethereum.

Disse resultater fremhæver den konstante udvikling af AlienFox og dens stigende sofistikering. Det er bydende nødvendigt for organisationer at forblive på vagt og træffe de nødvendige foranstaltninger for at sikre deres systemer mod sådanne trusler.