AlienFox

לפי חוקרי infosec, ערכת כלים חדשה בשם AlienFox מופצת כעת באמצעות Telegram, אפליקציית הודעות פופולרית. ערכת הכלים נועדה לאפשר לשחקני איומים לקצור אישורים ממפתחות API ונתונים רגישים אחרים מספקי שירותי ענן שונים.

הדו"ח שפורסמו על ידי מומחי אבטחת הסייבר ב-SentinelOne, חושף כי AlienFox הוא תוכנה זדונית מודולרית ביותר שמתפתחת ללא הרף עם תכונות חדשות ושיפורי ביצועים. שחקני איומים משתמשים ב- AlienFox לזיהוי ואיסוף אישורי שירות משירותים חשופים או שגויים. אם קורבן נופל טרף להתקפות כאלה, זה יכול להוביל למספר השלכות, כגון עלויות שירות מוגברות, אובדן אמון הלקוחות ועלויות תיקון.

בנוסף, זה יכול גם לפתוח את הדלתות לקמפיינים פליליים נוספים שכן הגרסאות האחרונות של AlienFox כוללות מגוון סקריפטים שיכולים להפוך פעולות זדוניות לאוטומטיות באמצעות האישורים הגנובים. למשל, יש סקריפט שמאפשר ביסוס של התמדה, מה שאומר שהתוקף יכול לשמור על שליטה על המערכת שנפרצה גם לאחר אתחול מחדש או עדכון. אותו סקריפט גם מקל על הסלמה של הרשאות בחשבונות AWS, ובכך מספק לתוקף גישה ושליטה רבה יותר.

יתר על כן, אחד מהסקריפטים הכלולים ב- AlienFox יכול להפוך קמפיינים ספאם לאוטומטיים באמצעות חשבונות ושירותים של קורבנות, ובכך לגרום לפגיעה משמעותית במוניטין של הקורבן ולהוביל להפסדים כספיים נוספים. באופן כללי, ברור שלשימוש ב-AlienFox על ידי פושעי סייבר עלולות להיות השלכות קשות וארוכות טווח על הקורבנות.

AlienFox מאתר מארחים בעלי תצורה שגויה

AlienFox הוא כלי שתוקפים משתמשים בו כדי לאסוף רשימות של מארחים שהוגדרו בצורה שגויה באמצעות פלטפורמות סריקה כמו LeakIX ו-SecurityTrails. ראוי לציין שזו תכונה שכיחה יותר ויותר בקרב קבוצות איומים שכן הן נוטות להשתמש במוצרי אבטחה לגיטימיים, כגון Cobalt Strike, בפעולות הזדוניות שלהם.

לאחר שהתוקפים זיהו את השרתים הפגיעים, הם יכולים להשתמש במגוון סקריפטים מתוך ערכת הכלים של AlienFox כדי לגנוב מידע רגיש מפלטפורמות ענן כמו Amazon Web Services ו-Microsoft Office 365. ראוי לציין שבעוד שניתן למנף את הסקריפטים של AlienFox נגד מגוון שירותי אינטרנט, הם ממוקדים בעיקר לשירותי אירוח דוא"ל מבוססי ענן ושירותי תוכנה כשירות (SaaS).

רבות מהתצורות השגויות המנוצלות קשורות למסגרות אינטרנט פופולריות כגון Laravel, Drupal, WordPress ו-OpenCart. הסקריפטים של AlienFox משתמשים בטכניקות של כוח גס עבור כתובות IP ורשתות משנה, וממשקי API באינטרנט בכל הנוגע לפלטפורמות מודיעין בקוד פתוח כמו SecurityTrails ו-LeakIX כדי לבדוק אם יש שירותי ענן וליצור רשימה של יעדים.

ברגע שמזהים שרת פגיע, התוקפים עוברים פנימה כדי לחלץ מידע רגיש. פושעי הסייבר משתמשים בסקריפטים המכוונים לאסימונים וסודות אחרים מיותר מתריסר שירותי ענן, כולל AWS ו-Office 365, כמו גם Google Workspace, Nexmo, Twilio ו-OneSignal. ניכר כי השימוש ב-AlienFox על ידי תוקפים יכול להוות איום משמעותי על ארגונים המסתמכים על שירותי ענן לצורך פעילותם.

תוכנת זדונית AlienFox עדיין בפיתוח פעיל

שלוש גרסאות של AlienFox שחזרו לפברואר 2022 זוהו עד כה. ראוי לציין שחלק מהסקריפטים שנמצאו תויגו כמשפחות תוכנות זדוניות על ידי חוקרים אחרים.

כל אחת מערכי הכלים המנוצלים לרעה ב-SES שנותחו מכוונת לשרתים באמצעות מסגרת PHP של Laravel. עובדה זו עשויה להצביע על כך ש-Laravel רגיש במיוחד לתצורות שגויות או לחשיפה.

מעניין לציין ש- AlienFox v4 מאורגן בצורה שונה מהאחרים. לדוגמה, לכל כלי בגרסה זו מוקצה מזהה מספרי, כגון Tool1 ו-Tool2. חלק מהכלים החדשים מראים שהמפתחים מנסים למשוך משתמשים חדשים או להגדיל את מה שערכות כלים קיימות יכולות לעשות. לדוגמה, כלי אחד בודק כתובות דוא"ל המקושרות לחשבונות קמעונאיים של אמזון. אם לא נמצאו מיילים כאלה, הסקריפט יצור חשבון אמזון חדש באמצעות כתובת האימייל. כלי נוסף עושה אוטומציה של זרעי ארנק קריפטו במיוחד עבור ביטקוין ואת'ריום.

ממצאים אלה מדגישים את האופי ההולך ומתפתח של AlienFox ואת התחכום הגובר שלו. הכרחי לארגונים להישאר ערניים ולנקוט באמצעים הדרושים כדי לאבטח את המערכות שלהם מפני איומים כאלה.