AlienFox

Infosecin tutkijoiden mukaan uutta AlienFox-nimistä työkalusarjaa jaetaan parhaillaan suositun viestisovelluksen Telegramin kautta. Työkalusarja on suunniteltu mahdollistamaan uhkatoimijoiden kerääminen käyttöoikeustietoja API-avaimista ja muista arkaluontoisista tiedoista eri pilvipalveluntarjoajilta.

SentinelOnen kyberturvallisuusasiantuntijoiden julkaisema raportti paljastaa, että AlienFox on erittäin modulaarinen haittaohjelma, joka kehittyy jatkuvasti uusien ominaisuuksien ja suorituskyvyn parannuksilla. Uhkatoimijat käyttävät AlienFoxia palvelun tunnistetietojen tunnistamiseen ja keräämiseen paljastuneista tai väärin määritetyistä palveluista. Jos uhri joutuu tällaisten hyökkäysten uhriksi, se voi johtaa useisiin seurauksiin, kuten palvelukustannusten nousuun, asiakkaiden luottamuksen menettämiseen ja korjauskuluihin.

Lisäksi se voi myös avata ovia uusille rikollisille kampanjoille, sillä AlienFoxin uusimmat versiot sisältävät joukon komentosarjoja, jotka voivat automatisoida haitallisia toimintoja varastetuilla tunnistetiedoilla. Esimerkiksi on olemassa komentosarja, joka mahdollistaa pysyvyyden luomisen, mikä tarkoittaa, että hyökkääjä voi säilyttää vaarantuneen järjestelmän hallinnassa myös uudelleenkäynnistyksen tai päivityksen jälkeen. Sama komentosarja helpottaa myös oikeuksien eskalointia AWS-tileillä, mikä tarjoaa hyökkääjälle paremman pääsyn ja hallinnan.

Lisäksi yksi AlienFoxiin sisältyvistä skripteistä voi automatisoida roskapostikampanjoita uhrien tilien ja palveluiden kautta, mikä vahingoittaa merkittävästi uhrin mainetta ja johtaa ylimääräisiin taloudellisiin menetyksiin. Kaiken kaikkiaan on selvää, että AlienFoxin käytöllä kyberrikollisten toimesta voi olla vakavia ja pitkäaikaisia seurauksia uhreille.

AlienFox paikantaa väärin määritetyt isännät

AlienFox on työkalu, jolla hyökkääjät keräävät luetteloita väärin määritetyistä isännistä tarkistusalustoilla, kuten LeakIX ja SecurityTrails. On huomionarvoista, että tämä on yhä yleisempi piirre uhkaryhmien keskuudessa, koska heillä on tapana käyttää laillisia tietoturvatuotteita, kuten Cobalt Strikea, haitallisissa toimissaan.

Kun hyökkääjät ovat tunnistaneet haavoittuvat palvelimet, he voivat käyttää useita AlienFox-työkalupakin komentosarjoja varastaakseen arkaluontoisia tietoja pilvialustoilta, kuten Amazon Web Services ja Microsoft Office 365. On syytä huomata, että vaikka AlienFox-skriptejä voidaan hyödyntää erilaisia verkkopalveluita, ne on ensisijaisesti suunnattu pilvipohjaisille ja Software-as-a-Service (SaaS) -sähköpostipalveluille.

Monet väärinkäytettävät konfiguraatiot liittyvät suosittuihin verkkokehyksiin, kuten Laravel, Drupal, WordPress ja OpenCart. AlienFox-skriptit käyttävät raakaa voimaa IP-osoitteisiin ja aliverkkoihin sekä verkkosovellusliittymiin, kun kyse on avoimen lähdekoodin älyalustoista, kuten SecurityTrails ja LeakIX, pilvipalvelujen tarkistamiseen ja kohteiden luettelon luomiseen.

Kun haavoittuva palvelin on tunnistettu, hyökkääjät siirtyvät poimimaan arkaluonteisia tietoja. Kyberrikolliset käyttävät skriptejä, jotka kohdistavat tunnuksiin ja muihin salaisuuksiin yli tusinasta pilvipalvelusta, mukaan lukien AWS ja Office 365, sekä Google Workspace, Nexmo, Twilio ja OneSignal. On selvää, että AlienFoxin käyttö hyökkääjien toimesta voi muodostaa merkittävän uhan organisaatioille, jotka luottavat toiminnassaan pilvipalveluihin.

AlienFox-haittaohjelmia kehitetään edelleen aktiivisesti

AlienFoxista on löydetty kolme versiota helmikuuhun 2022 asti. On syytä huomauttaa, että muut tutkijat ovat merkinneet jotkin löydetyistä skripteistä haittaohjelmaperheiksi.

Jokainen analysoiduista SES:ää väärinkäyttävistä työkalusarjoista kohdistuu palvelimiin, jotka käyttävät Laravel PHP -kehystä. Tämä tosiasia voi viitata siihen, että Laravel on erityisen herkkä virheellisille määrityksille tai altistuksille.

On mielenkiintoista huomata, että AlienFox v4 on järjestetty eri tavalla kuin muut. Esimerkiksi jokaiselle tämän version työkalulle on määritetty numeerinen tunniste, kuten Tool1 ja Tool2. Jotkut uusista työkaluista viittaavat siihen, että kehittäjät yrittävät houkutella uusia käyttäjiä tai täydentää olemassa olevien työkalupakkien ominaisuuksia. Esimerkiksi yksi työkalu tarkistaa Amazon-vähittäismyyntitileihin linkitetyt sähköpostiosoitteet. Jos tällaisia sähköposteja ei löydy, komentosarja luo uuden Amazon-tilin käyttämällä sähköpostiosoitetta. Toinen työkalu automatisoi kryptovaluuttalompakko-siemeniä erityisesti Bitcoinille ja Ethereumille.

Nämä havainnot korostavat AlienFoxin jatkuvasti kehittyvää luonnetta ja sen kasvavaa hienostuneisuutta. Organisaatioiden on ehdottomasti pysyttävä valppaina ja toteutettava tarvittavat toimenpiteet turvatakseen järjestelmänsä tällaisilta uhilta.