AlienFox

Infoseci teadlaste sõnul levitatakse praegu populaarse sõnumsiderakenduse Telegrami kaudu uut tööriistakomplekti nimega AlienFox. Tööriistakomplekt on loodud selleks, et võimaldada ohus osalejatel koguda mandaate API-võtmetelt ja muudelt tundlikelt andmetelt erinevatelt pilveteenuse pakkujatelt.

SentinelOne'i küberturvalisuse ekspertide avaldatud aruanne näitab, et AlienFox on väga modulaarne pahavara, mis areneb pidevalt uute funktsioonide ja jõudluse täiustustega. Ohutegurid kasutavad AlienFoxi paljastatud või valesti konfigureeritud teenustelt teenuse mandaatide tuvastamiseks ja kogumiseks. Kui ohver satub selliste rünnakute ohvriks, võib see kaasa tuua mitmeid tagajärgi, nagu näiteks teenusekulude suurenemine, klientide usalduse kaotus ja heastamiskulud.

Lisaks võib see avada ka uksed edasisteks kuritegelikeks kampaaniateks, kuna AlienFoxi uusimad versioonid sisaldavad mitmesuguseid skripte, mis võivad varastatud mandaate kasutades pahatahtlikke toiminguid automatiseerida. Näiteks on olemas skript, mis võimaldab luua püsivuse, mis tähendab, et ründaja suudab säilitada kontrolli ohustatud süsteemi üle ka pärast taaskäivitamist või värskendamist. Sama skript hõlbustab ka privileegide suurendamist AWS-i kontodel, pakkudes seeläbi ründajale suuremat juurdepääsu ja kontrolli.

Lisaks võib üks AlienFoxis sisalduvatest skriptidest automatiseerida rämpspostikampaaniaid ohvrikontode ja teenuste kaudu, kahjustades sellega oluliselt ohvri mainet ja põhjustades täiendavat rahalist kahju. Üldiselt on ilmne, et AlienFoxi kasutamisel küberkurjategijate poolt võivad ohvritele olla rasked ja pikaajalised tagajärjed.

AlienFox otsib valesti konfigureeritud hostid

AlienFox on tööriist, mida ründajad kasutavad skannimisplatvormide (nt LeakIX ja SecurityTrails) kaudu valesti konfigureeritud hostide loendite kogumiseks. Tähelepanuväärne on, et see on ohurühmade seas üha tavalisem tunnusjoon, kuna nad kipuvad oma pahatahtlikes toimingutes kasutama seaduslikke turbetooteid, nagu Cobalt Strike.

Kui ründajad on haavatavad serverid tuvastanud, saavad nad kasutada erinevaid AlienFoxi tööriistakomplekti skripte, et varastada tundlikku teavet pilvplatvormidelt, nagu Amazon Web Services ja Microsoft Office 365. Väärib märkimist, et kuigi AlienFoxi skripte saab kasutada. mitmesuguseid veebiteenuseid, on need peamiselt suunatud pilvepõhistele ja tarkvara-as-a-Service (SaaS) e-posti hostimisteenustele.

Paljud väärkonfiguratsioonid, mida kasutatakse, on seotud populaarsete veebiraamistikega, nagu Laravel, Drupal, WordPress ja OpenCart. AlienFoxi skriptid kasutavad IP-de ja alamvõrkude ning veebi API-de jaoks toore jõu tehnikaid, kui tegemist on avatud lähtekoodiga luureplatvormidega, nagu SecurityTrails ja LeakIX, et kontrollida pilveteenuseid ja luua sihtmärkide loend.

Kui haavatav server on tuvastatud, asuvad ründajad tundlikku teavet hankima. Küberkurjategijad kasutavad skripte, mis sihivad žetoone ja muid saladusi enam kui tosinast pilveteenusest, sealhulgas AWS ja Office 365, aga ka Google Workspace, Nexmo, Twilio ja OneSignal. On ilmne, et AlienFoxi kasutamine ründajate poolt võib kujutada märkimisväärset ohtu organisatsioonidele, mis oma tegevuses tuginevad pilveteenustele.

AlienFoxi pahavara on endiselt aktiivses arenduses

Seni on tuvastatud kolm AlienFoxi versiooni, mis ulatuvad 2022. aasta veebruarini. Väärib märkimist, et mõned leitud skriptid on teiste uurijate poolt pahavaraperekondadena märgistatud.

Kõik analüüsitud SES-i kuritarvitavad tööriistakomplektid on suunatud Laravel PHP raamistikku kasutavatele serveritele. See asjaolu võib viidata sellele, et Laravel on eriti vastuvõtlik valede konfiguratsioonide või kokkupuute suhtes.

Huvitav on märkida, et AlienFox v4 on korraldatud teistest erinevalt. Näiteks on selles versioonis igale tööriistale määratud numbriline identifikaator, näiteks Tool1 ja Tool2. Mõned uued tööriistad viitavad sellele, et arendajad püüavad meelitada uusi kasutajaid või täiustada olemasolevate tööriistakomplektide võimalusi. Näiteks kontrollib üks tööriist Amazoni jaemüügikontodega seotud e-posti aadresse. Kui selliseid e-kirju ei leita, loob skript e-posti aadressi kasutades uue Amazoni konto. Teine tööriist automatiseerib krüptovaluuta rahakoti seemneid spetsiaalselt Bitcoini ja Ethereumi jaoks.

Need leiud rõhutavad AlienFoxi pidevalt arenevat olemust ja selle kasvavat keerukust. Organisatsioonid peavad jääma valvsaks ja võtma vajalikke meetmeid oma süsteemide kaitsmiseks selliste ohtude eest.