تخفیف چند مجوز
Threat Database Malware AlienFox

AlienFox

تا Mezo در Malware
ترجمه به:
فارسی

به گفته محققان infosec، یک ابزار جدید به نام AlienFox در حال حاضر از طریق تلگرام، یک برنامه پیام رسانی محبوب، در حال توزیع است. این مجموعه ابزار به گونه ای طراحی شده است که عوامل تهدید را قادر می سازد تا اعتبارنامه ها را از کلیدهای API و سایر داده های حساس از ارائه دهندگان مختلف خدمات ابری جمع آوری کنند.

گزارش منتشر شده توسط کارشناسان امنیت سایبری در SentinelOne نشان می دهد که AlienFox یک بدافزار بسیار ماژولار است که به طور مداوم با ویژگی های جدید و بهبود عملکرد در حال تکامل است. عوامل تهدید از AlienFox برای شناسایی و جمع‌آوری اعتبار خدمات از سرویس‌های افشا شده یا پیکربندی نادرست استفاده می‌کنند. اگر قربانی قربانی چنین حملاتی شود، می تواند منجر به عواقب متعددی مانند افزایش هزینه های خدمات، از دست دادن اعتماد مشتری و هزینه های اصلاح شود.

علاوه بر این، همچنین می‌تواند درها را برای کمپین‌های جنایی بیشتر باز کند، زیرا آخرین نسخه‌های AlienFox شامل مجموعه‌ای از اسکریپت‌ها است که می‌توانند عملیات مخرب را با استفاده از اعتبار به سرقت رفته خودکار کنند. به عنوان مثال، یک اسکریپت وجود دارد که امکان ایجاد پایداری را فراهم می کند، به این معنی که مهاجم می تواند کنترل سیستم در معرض خطر را حتی پس از راه اندازی مجدد یا به روز رسانی حفظ کند. همین اسکریپت همچنین افزایش امتیازات را در حساب‌های AWS تسهیل می‌کند و در نتیجه دسترسی و کنترل بیشتری را برای مهاجم فراهم می‌کند.

علاوه بر این، یکی از اسکریپت‌های موجود در AlienFox می‌تواند کمپین‌های اسپم را از طریق حساب‌ها و خدمات قربانی به‌طور خودکار انجام دهد، در نتیجه آسیب قابل‌توجهی به شهرت قربانی وارد می‌کند و منجر به خسارات مالی اضافی می‌شود. به طور کلی، بدیهی است که استفاده از AlienFox توسط مجرمان سایبری می تواند عواقب شدید و طولانی مدتی برای قربانیان داشته باشد.

AlienFox میزبان های پیکربندی نادرست را پیدا می کند

AlienFox ابزاری است که مهاجمان برای جمع آوری لیست هاست های پیکربندی نادرست از طریق پلتفرم های اسکن مانند LeakIX و SecurityTrails استفاده می کنند. قابل توجه است که این یک ویژگی به طور فزاینده ای در میان گروه های تهدید رایج است زیرا آنها تمایل دارند از محصولات امنیتی قانونی مانند Cobalt Strike در عملیات مخرب خود استفاده کنند.

هنگامی که مهاجمان سرورهای آسیب پذیر را شناسایی کردند، می توانند از طیف وسیعی از اسکریپت ها از جعبه ابزار AlienFox برای سرقت اطلاعات حساس از پلتفرم های ابری مانند سرویس های وب آمازون و مایکروسافت آفیس 365 استفاده کنند. شایان ذکر است که در حالی که اسکریپت های AlienFox می توانند در برابر آن ها استفاده شوند. طیف وسیعی از خدمات وب، آنها عمدتاً خدمات میزبانی ایمیل مبتنی بر ابر و نرم افزار به عنوان سرویس (SaaS) را هدف قرار می دهند.

بسیاری از پیکربندی های نادرست که مورد سوء استفاده قرار می گیرند با چارچوب های وب محبوب مانند لاراول، دروپال، وردپرس و اپن کارت مرتبط هستند. اسکریپت‌های AlienFox از تکنیک‌های brute-force برای IPها و زیرشبکه‌ها و APIهای وب برای پلتفرم‌های اطلاعاتی منبع باز مانند SecurityTrails و LeakIX برای بررسی سرویس‌های ابری و ایجاد فهرستی از اهداف استفاده می‌کنند.

هنگامی که یک سرور آسیب پذیر شناسایی می شود، مهاجمان برای استخراج اطلاعات حساس وارد عمل می شوند. مجرمان سایبری از اسکریپت هایی استفاده می کنند که توکن ها و سایر اسرار را از بیش از ده ها سرویس ابری از جمله AWS و Office 365 و همچنین Google Workspace، Nexmo، Twilio و OneSignal هدف قرار می دهند. بدیهی است که استفاده از AlienFox توسط مهاجمان می تواند تهدید قابل توجهی برای سازمان هایی باشد که برای عملیات خود به خدمات ابری متکی هستند.

بدافزار AlienFox هنوز در دست توسعه فعال است

سه نسخه از AlienFox که به فوریه 2022 بازمی‌گردد، تاکنون شناسایی شده است. شایان ذکر است که برخی از اسکریپت های یافت شده توسط سایر محققان به عنوان خانواده بدافزار برچسب گذاری شده اند.

هر یک از مجموعه ابزارهای سوء استفاده کننده از SES که تجزیه و تحلیل شدند، سرورها را با استفاده از چارچوب لاراول PHP هدف قرار می دهند. این واقعیت ممکن است نشان دهد که لاراول به ویژه در معرض تنظیمات نادرست یا قرار گرفتن در معرض قرار دارد.

جالب است بدانید که AlienFox v4 متفاوت از بقیه سازماندهی شده است. به عنوان مثال، به هر ابزار در این نسخه یک شناسه عددی مانند Tool1 و Tool2 اختصاص داده شده است. برخی از ابزارهای جدید نشان می‌دهند که توسعه‌دهندگان در تلاش هستند تا کاربران جدید را جذب کنند یا آنچه را که جعبه‌ابزارهای موجود می‌توانند انجام دهند، تقویت کنند. به عنوان مثال، یکی از ابزارها آدرس های ایمیل مرتبط با حساب های خرده فروشی آمازون را بررسی می کند. اگر چنین ایمیل‌هایی یافت نشد، اسکریپت با استفاده از آدرس ایمیل یک حساب کاربری جدید آمازون ایجاد می‌کند. ابزار دیگری، بذرهای کیف پول ارزهای دیجیتال را به طور خاص برای بیت کوین و اتریوم خودکار می کند.

این یافته ها ماهیت همیشه در حال تکامل AlienFox و پیچیدگی روزافزون آن را برجسته می کند. برای سازمان ها ضروری است که هوشیار باقی بمانند و اقدامات لازم را برای ایمن سازی سیستم های خود در برابر چنین تهدیداتی انجام دهند.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
15,882
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...