AlienFox
به گفته محققان infosec، یک ابزار جدید به نام AlienFox در حال حاضر از طریق تلگرام، یک برنامه پیام رسانی محبوب، در حال توزیع است. این مجموعه ابزار به گونه ای طراحی شده است که عوامل تهدید را قادر می سازد تا اعتبارنامه ها را از کلیدهای API و سایر داده های حساس از ارائه دهندگان مختلف خدمات ابری جمع آوری کنند.
گزارش منتشر شده توسط کارشناسان امنیت سایبری در SentinelOne نشان می دهد که AlienFox یک بدافزار بسیار ماژولار است که به طور مداوم با ویژگی های جدید و بهبود عملکرد در حال تکامل است. عوامل تهدید از AlienFox برای شناسایی و جمعآوری اعتبار خدمات از سرویسهای افشا شده یا پیکربندی نادرست استفاده میکنند. اگر قربانی قربانی چنین حملاتی شود، می تواند منجر به عواقب متعددی مانند افزایش هزینه های خدمات، از دست دادن اعتماد مشتری و هزینه های اصلاح شود.
علاوه بر این، همچنین میتواند درها را برای کمپینهای جنایی بیشتر باز کند، زیرا آخرین نسخههای AlienFox شامل مجموعهای از اسکریپتها است که میتوانند عملیات مخرب را با استفاده از اعتبار به سرقت رفته خودکار کنند. به عنوان مثال، یک اسکریپت وجود دارد که امکان ایجاد پایداری را فراهم می کند، به این معنی که مهاجم می تواند کنترل سیستم در معرض خطر را حتی پس از راه اندازی مجدد یا به روز رسانی حفظ کند. همین اسکریپت همچنین افزایش امتیازات را در حسابهای AWS تسهیل میکند و در نتیجه دسترسی و کنترل بیشتری را برای مهاجم فراهم میکند.
علاوه بر این، یکی از اسکریپتهای موجود در AlienFox میتواند کمپینهای اسپم را از طریق حسابها و خدمات قربانی بهطور خودکار انجام دهد، در نتیجه آسیب قابلتوجهی به شهرت قربانی وارد میکند و منجر به خسارات مالی اضافی میشود. به طور کلی، بدیهی است که استفاده از AlienFox توسط مجرمان سایبری می تواند عواقب شدید و طولانی مدتی برای قربانیان داشته باشد.
AlienFox میزبان های پیکربندی نادرست را پیدا می کند
AlienFox ابزاری است که مهاجمان برای جمع آوری لیست هاست های پیکربندی نادرست از طریق پلتفرم های اسکن مانند LeakIX و SecurityTrails استفاده می کنند. قابل توجه است که این یک ویژگی به طور فزاینده ای در میان گروه های تهدید رایج است زیرا آنها تمایل دارند از محصولات امنیتی قانونی مانند Cobalt Strike در عملیات مخرب خود استفاده کنند.
هنگامی که مهاجمان سرورهای آسیب پذیر را شناسایی کردند، می توانند از طیف وسیعی از اسکریپت ها از جعبه ابزار AlienFox برای سرقت اطلاعات حساس از پلتفرم های ابری مانند سرویس های وب آمازون و مایکروسافت آفیس 365 استفاده کنند. شایان ذکر است که در حالی که اسکریپت های AlienFox می توانند در برابر آن ها استفاده شوند. طیف وسیعی از خدمات وب، آنها عمدتاً خدمات میزبانی ایمیل مبتنی بر ابر و نرم افزار به عنوان سرویس (SaaS) را هدف قرار می دهند.
بسیاری از پیکربندی های نادرست که مورد سوء استفاده قرار می گیرند با چارچوب های وب محبوب مانند لاراول، دروپال، وردپرس و اپن کارت مرتبط هستند. اسکریپتهای AlienFox از تکنیکهای brute-force برای IPها و زیرشبکهها و APIهای وب برای پلتفرمهای اطلاعاتی منبع باز مانند SecurityTrails و LeakIX برای بررسی سرویسهای ابری و ایجاد فهرستی از اهداف استفاده میکنند.
هنگامی که یک سرور آسیب پذیر شناسایی می شود، مهاجمان برای استخراج اطلاعات حساس وارد عمل می شوند. مجرمان سایبری از اسکریپت هایی استفاده می کنند که توکن ها و سایر اسرار را از بیش از ده ها سرویس ابری از جمله AWS و Office 365 و همچنین Google Workspace، Nexmo، Twilio و OneSignal هدف قرار می دهند. بدیهی است که استفاده از AlienFox توسط مهاجمان می تواند تهدید قابل توجهی برای سازمان هایی باشد که برای عملیات خود به خدمات ابری متکی هستند.
بدافزار AlienFox هنوز در دست توسعه فعال است
سه نسخه از AlienFox که به فوریه 2022 بازمیگردد، تاکنون شناسایی شده است. شایان ذکر است که برخی از اسکریپت های یافت شده توسط سایر محققان به عنوان خانواده بدافزار برچسب گذاری شده اند.
هر یک از مجموعه ابزارهای سوء استفاده کننده از SES که تجزیه و تحلیل شدند، سرورها را با استفاده از چارچوب لاراول PHP هدف قرار می دهند. این واقعیت ممکن است نشان دهد که لاراول به ویژه در معرض تنظیمات نادرست یا قرار گرفتن در معرض قرار دارد.
جالب است بدانید که AlienFox v4 متفاوت از بقیه سازماندهی شده است. به عنوان مثال، به هر ابزار در این نسخه یک شناسه عددی مانند Tool1 و Tool2 اختصاص داده شده است. برخی از ابزارهای جدید نشان میدهند که توسعهدهندگان در تلاش هستند تا کاربران جدید را جذب کنند یا آنچه را که جعبهابزارهای موجود میتوانند انجام دهند، تقویت کنند. به عنوان مثال، یکی از ابزارها آدرس های ایمیل مرتبط با حساب های خرده فروشی آمازون را بررسی می کند. اگر چنین ایمیلهایی یافت نشد، اسکریپت با استفاده از آدرس ایمیل یک حساب کاربری جدید آمازون ایجاد میکند. ابزار دیگری، بذرهای کیف پول ارزهای دیجیتال را به طور خاص برای بیت کوین و اتریوم خودکار می کند.
این یافته ها ماهیت همیشه در حال تکامل AlienFox و پیچیدگی روزافزون آن را برجسته می کند. برای سازمان ها ضروری است که هوشیار باقی بمانند و اقدامات لازم را برای ایمن سازی سیستم های خود در برابر چنین تهدیداتی انجام دهند.