Εκπτώσεις πολλαπλών αδειών
Threat Database Malware AlienFox

AlienFox

Μέχρι το Mezo το Malware
Μετάφραση σε:
Ελληνικά

Σύμφωνα με ερευνητές του infosec, ένα νέο σύνολο εργαλείων με το όνομα AlienFox διανέμεται επί του παρόντος μέσω του Telegram, μιας δημοφιλούς εφαρμογής ανταλλαγής μηνυμάτων. Το σύνολο εργαλείων έχει σχεδιαστεί για να επιτρέπει στους παράγοντες απειλών να συλλέγουν διαπιστευτήρια από κλειδιά API και άλλα ευαίσθητα δεδομένα από διάφορους παρόχους υπηρεσιών cloud.

Η έκθεση που δόθηκε στη δημοσιότητα από τους ειδικούς στον τομέα της κυβερνοασφάλειας στο SentinelOne, αποκαλύπτει ότι το AlienFox είναι ένα εξαιρετικά αρθρωτό κακόβουλο λογισμικό που εξελίσσεται συνεχώς με νέες δυνατότητες και βελτιώσεις απόδοσης. Οι φορείς απειλών χρησιμοποιούν το AlienFox για τον εντοπισμό και τη συλλογή διαπιστευτηρίων υπηρεσίας από εκτεθειμένες ή εσφαλμένες παραμέτρους υπηρεσίες. Εάν ένα θύμα πέσει θύμα τέτοιων επιθέσεων, μπορεί να οδηγήσει σε πολλές συνέπειες, όπως αυξημένο κόστος υπηρεσιών, απώλεια εμπιστοσύνης των πελατών και κόστος αποκατάστασης.

Επιπλέον, μπορεί επίσης να ανοίξει τις πόρτες για περαιτέρω εγκληματικές εκστρατείες, καθώς οι τελευταίες εκδόσεις του AlienFox περιλαμβάνουν μια σειρά σεναρίων που μπορούν να αυτοματοποιήσουν κακόβουλες λειτουργίες χρησιμοποιώντας τα κλεμμένα διαπιστευτήρια. Για παράδειγμα, υπάρχει ένα σενάριο που επιτρέπει την καθιέρωση επιμονής, πράγμα που σημαίνει ότι ο εισβολέας μπορεί να διατηρήσει τον έλεγχο του παραβιασμένου συστήματος ακόμα και μετά από επανεκκίνηση ή ενημέρωση. Το ίδιο σενάριο διευκολύνει επίσης την κλιμάκωση των προνομίων σε λογαριασμούς AWS, παρέχοντας έτσι στον εισβολέα μεγαλύτερη πρόσβαση και έλεγχο.

Επιπλέον, ένα από τα σενάρια που περιλαμβάνονται στο AlienFox μπορεί να αυτοματοποιήσει τις καμπάνιες ανεπιθύμητης αλληλογραφίας μέσω λογαριασμών και υπηρεσιών θυμάτων, προκαλώντας έτσι σημαντική βλάβη στη φήμη του θύματος και οδηγώντας σε πρόσθετες οικονομικές απώλειες. Συνολικά, είναι προφανές ότι η χρήση του AlienFox από εγκληματίες του κυβερνοχώρου μπορεί να έχει σοβαρές και μακροχρόνιες συνέπειες για τα θύματα.

Το AlienFox εντοπίζει εσφαλμένα διαμορφωμένους κεντρικούς υπολογιστές

Το AlienFox είναι ένα εργαλείο που χρησιμοποιούν οι εισβολείς για τη συλλογή λιστών κεντρικών υπολογιστών που δεν έχουν ρυθμιστεί σωστά μέσω πλατφορμών σάρωσης όπως το LeakIX και το SecurityTrails. Αξίζει να σημειωθεί ότι αυτό είναι ένα ολοένα και πιο κοινό χαρακτηριστικό μεταξύ των ομάδων απειλών, καθώς τείνουν να χρησιμοποιούν νόμιμα προϊόντα ασφαλείας, όπως το Cobalt Strike, στις κακόβουλες επιχειρήσεις τους.

Μόλις οι επιτιθέμενοι εντοπίσουν τους ευάλωτους διακομιστές, μπορούν να χρησιμοποιήσουν μια σειρά από σενάρια από την εργαλειοθήκη AlienFox για να υποκλέψουν ευαίσθητες πληροφορίες από πλατφόρμες cloud, όπως το Amazon Web Services και το Microsoft Office 365. Αξίζει να σημειωθεί ότι ενώ τα σενάρια AlienFox μπορούν να αξιοποιηθούν μια σειρά από υπηρεσίες Ιστού, που στοχεύουν κυρίως σε υπηρεσίες φιλοξενίας email που βασίζονται σε σύννεφο και σε υπηρεσίες φιλοξενίας ηλεκτρονικού ταχυδρομείου Software-as-a-Service (SaaS).

Πολλές από τις εσφαλμένες διαμορφώσεις που γίνονται αντικείμενο εκμετάλλευσης σχετίζονται με δημοφιλή πλαίσια ιστού όπως το Laravel, το Drupal, το WordPress και το OpenCart. Τα σενάρια AlienFox χρησιμοποιούν τεχνικές brute-force για IP και υποδίκτυα και web API όταν πρόκειται για πλατφόρμες νοημοσύνης ανοιχτού κώδικα όπως το SecurityTrails και το LeakIX για έλεγχο για υπηρεσίες cloud και δημιουργία λίστας στόχων.

Μόλις εντοπιστεί ένας ευάλωτος διακομιστής, οι εισβολείς κινούνται για να εξαγάγουν ευαίσθητες πληροφορίες. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν σενάρια που στοχεύουν διακριτικά και άλλα μυστικά από περισσότερες από δώδεκα υπηρεσίες cloud, συμπεριλαμβανομένων των AWS και Office 365, καθώς και των Google Workspace, Nexmo, Twilio και OneSignal. Είναι προφανές ότι η χρήση του AlienFox από εισβολείς μπορεί να αποτελέσει σημαντική απειλή για οργανισμούς που βασίζονται σε υπηρεσίες cloud για τις δραστηριότητές τους.

Το κακόβουλο λογισμικό AlienFox είναι ακόμα υπό ενεργή ανάπτυξη

Μέχρι στιγμής έχουν εντοπιστεί τρεις εκδόσεις του AlienFox που χρονολογούνται από τον Φεβρουάριο του 2022. Αξίζει να σημειωθεί ότι ορισμένα από τα σενάρια που βρέθηκαν έχουν επισημανθεί ως οικογένειες κακόβουλου λογισμικού από άλλους ερευνητές.

Καθένα από τα σύνολα εργαλείων κατάχρησης SES που αναλύθηκαν στοχεύει διακομιστές χρησιμοποιώντας το πλαίσιο Laravel PHP. Αυτό το γεγονός μπορεί να υποδηλώνει ότι η Laravel είναι ιδιαίτερα επιρρεπής σε εσφαλμένες διαμορφώσεις ή εκθέσεις.

Είναι ενδιαφέρον να σημειωθεί ότι το AlienFox v4 είναι οργανωμένο διαφορετικά από τα άλλα. Για παράδειγμα, σε κάθε εργαλείο σε αυτήν την έκδοση εκχωρείται ένα αριθμητικό αναγνωριστικό, όπως το Εργαλείο1 και το Εργαλείο2. Μερικά από τα νέα εργαλεία υποδηλώνουν ότι οι προγραμματιστές προσπαθούν να προσελκύσουν νέους χρήστες ή να αυξήσουν το τι μπορούν να κάνουν τα υπάρχοντα εργαλεία. Για παράδειγμα, ένα εργαλείο ελέγχει για διευθύνσεις email που συνδέονται με λογαριασμούς λιανικής Amazon. Εάν δεν βρεθεί κανένα τέτοιο email, το σενάριο θα δημιουργήσει έναν νέο λογαριασμό Amazon χρησιμοποιώντας τη διεύθυνση email. Ένα άλλο εργαλείο αυτοματοποιεί τους σπόρους πορτοφολιών κρυπτονομισμάτων ειδικά για το Bitcoin και το Ethereum.

Αυτά τα ευρήματα υπογραμμίζουν τη συνεχώς εξελισσόμενη φύση του AlienFox και την αυξανόμενη πολυπλοκότητά του. Είναι επιτακτική ανάγκη για τους οργανισμούς να παραμείνουν σε επαγρύπνηση και να λάβουν τα απαραίτητα μέτρα για την ασφάλεια των συστημάτων τους έναντι τέτοιων απειλών.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...