AlienFox
Infosec के शोधकर्ताओं के अनुसार, AlienFox नाम का एक नया टूलसेट वर्तमान में लोकप्रिय मैसेजिंग ऐप टेलीग्राम के माध्यम से वितरित किया जा रहा है। टूलसेट को विभिन्न क्लाउड सेवा प्रदाताओं से एपीआई कुंजियों और अन्य संवेदनशील डेटा से क्रेडेंशियल्स प्राप्त करने के लिए खतरे के अभिनेताओं को सक्षम करने के लिए डिज़ाइन किया गया है।
SentinelOne में साइबर सुरक्षा विशेषज्ञों द्वारा जारी की गई रिपोर्ट से पता चलता है कि AlienFox एक अत्यधिक मॉड्यूलर मैलवेयर है जो लगातार नई सुविधाओं और प्रदर्शन में सुधार के साथ विकसित हो रहा है। उजागर या गलत कॉन्फ़िगर की गई सेवाओं से सेवा क्रेडेंशियल्स की पहचान करने और एकत्र करने के लिए धमकी देने वाले कलाकार AlienFox का उपयोग करते हैं। यदि कोई पीड़ित इस तरह के हमलों का शिकार होता है, तो इसके कई परिणाम हो सकते हैं, जैसे सेवा लागत में वृद्धि, ग्राहकों के भरोसे में कमी, और सुधारात्मक लागत।
इसके अलावा, यह आगे के आपराधिक अभियानों के लिए भी दरवाजे खोल सकता है क्योंकि AlienFox के नवीनतम संस्करणों में कई प्रकार की स्क्रिप्ट शामिल हैं जो चोरी किए गए क्रेडेंशियल्स का उपयोग करके दुर्भावनापूर्ण संचालन को स्वचालित कर सकती हैं। उदाहरण के लिए, एक स्क्रिप्ट है जो दृढ़ता की स्थापना की अनुमति देती है, जिसका अर्थ है कि हमलावर रिबूट या अपडेट के बाद भी समझौता प्रणाली का नियंत्रण बनाए रख सकता है। वही स्क्रिप्ट AWS खातों में विशेषाधिकार वृद्धि की सुविधा भी देती है, जिससे हमलावर को अधिक पहुंच और नियंत्रण मिलता है।
इसके अलावा, AlienFox में शामिल स्क्रिप्ट में से एक पीड़ित खातों और सेवाओं के माध्यम से स्पैम अभियानों को स्वचालित कर सकती है, जिससे पीड़ित की प्रतिष्ठा को काफी नुकसान होता है और अतिरिक्त वित्तीय नुकसान होता है। कुल मिलाकर, यह स्पष्ट है कि साइबर अपराधियों द्वारा AlienFox के उपयोग से पीड़ितों के लिए गंभीर और दीर्घकालिक परिणाम हो सकते हैं।
AlienFox गलत कॉन्फ़िगर किए गए मेजबानों का पता लगाता है
AlienFox एक ऐसा उपकरण है जिसका उपयोग हमलावर LeakIX और SecurityTrails जैसे स्कैनिंग प्लेटफॉर्म के माध्यम से गलत कॉन्फ़िगर किए गए मेजबानों की सूची एकत्र करने के लिए करते हैं। यह उल्लेखनीय है कि यह खतरा समूहों के बीच एक तेजी से सामान्य विशेषता है क्योंकि वे अपने दुर्भावनापूर्ण संचालन में कोबाल्ट स्ट्राइक जैसे वैध सुरक्षा उत्पादों का उपयोग करते हैं।
एक बार जब हमलावर कमजोर सर्वरों की पहचान कर लेते हैं, तो वे Amazon Web Services और Microsoft Office 365 जैसे क्लाउड प्लेटफॉर्म से संवेदनशील जानकारी चुराने के लिए AlienFox टूलकिट से स्क्रिप्ट की एक श्रृंखला का उपयोग कर सकते हैं। यह ध्यान देने योग्य है कि जबकि AlienFox स्क्रिप्ट का लाभ उठाया जा सकता है वेब सेवाओं की एक श्रृंखला, वे मुख्य रूप से क्लाउड-आधारित और सॉफ़्टवेयर-एज़-ए-सर्विस (सास) ईमेल होस्टिंग सेवाओं पर लक्षित हैं।
उपयोग की जाने वाली कई गलत कॉन्फ़िगरेशन लारवेल, ड्रुपल, वर्डप्रेस और ओपनकार्ट जैसे लोकप्रिय वेब फ्रेमवर्क से जुड़ी हैं। AlienFox स्क्रिप्ट्स आईपी और सबनेट्स के लिए ब्रूट-फोर्स तकनीकों का उपयोग करती हैं, और क्लाउड सेवाओं की जांच करने और लक्ष्यों की सूची तैयार करने के लिए सिक्योरिटीट्रेल्स और लीकिक्स जैसे ओपन-सोर्स इंटेलिजेंस प्लेटफॉर्म की बात आती है तो वेब एपीआई।
एक बार एक कमजोर सर्वर की पहचान हो जाने के बाद, हमलावर संवेदनशील जानकारी निकालने के लिए आगे बढ़ते हैं। साइबर अपराधी AWS और Office 365 के साथ-साथ Google कार्यक्षेत्र, Nexmo, Twilio, और OneSignal सहित एक दर्जन से अधिक क्लाउड सेवाओं से टोकन और अन्य रहस्यों को लक्षित करने वाली स्क्रिप्ट का उपयोग करते हैं। यह स्पष्ट है कि हमलावरों द्वारा AlienFox का उपयोग उन संगठनों के लिए एक महत्वपूर्ण खतरा पैदा कर सकता है जो अपने संचालन के लिए क्लाउड सेवाओं पर निर्भर हैं।
AlienFox मैलवेयर अभी भी सक्रिय विकास के अधीन है
अब तक फरवरी 2022 तक AlienFox के तीन संस्करणों की पहचान की जा चुकी है। यह ध्यान देने योग्य है कि मिली कुछ लिपियों को अन्य शोधकर्ताओं द्वारा मैलवेयर परिवारों के रूप में टैग किया गया है।
प्रत्येक एसईएस-दुरुपयोग करने वाले टूलसेट जिनका विश्लेषण किया गया था, लारवेल PHP फ्रेमवर्क का उपयोग करके सर्वर को लक्षित करते हैं। यह तथ्य सुझाव दे सकता है कि लारवेल विशेष रूप से गलत कॉन्फ़िगरेशन या एक्सपोजर के लिए अतिसंवेदनशील है।
यह ध्यान रखना दिलचस्प है कि AlienFox वी4 को दूसरों से अलग तरीके से व्यवस्थित किया गया है। उदाहरण के लिए, इस संस्करण में प्रत्येक टूल को एक संख्यात्मक पहचानकर्ता निर्दिष्ट किया गया है, जैसे टूल1 और टूल2। कुछ नए टूल सुझाव देते हैं कि डेवलपर नए उपयोगकर्ताओं को आकर्षित करने की कोशिश कर रहे हैं या मौजूदा टूलकिट क्या कर सकते हैं, इसे बढ़ाने की कोशिश कर रहे हैं। उदाहरण के लिए, एक टूल अमेज़ॅन खुदरा खातों से जुड़े ईमेल पतों की जांच करता है। यदि ऐसा कोई ईमेल नहीं मिलता है, तो स्क्रिप्ट ईमेल पते का उपयोग करके एक नया अमेज़न खाता बनाएगी। एक अन्य उपकरण विशेष रूप से बिटकॉइन और एथेरियम के लिए क्रिप्टोक्यूरेंसी वॉलेट बीजों को स्वचालित करता है।
ये निष्कर्ष AlienFox की हमेशा विकसित होने वाली प्रकृति और इसके बढ़ते परिष्कार को उजागर करते हैं। संगठनों के लिए यह अनिवार्य है कि वे सतर्क रहें और ऐसे खतरों से अपने सिस्टम को सुरक्षित करने के लिए आवश्यक उपाय करें।
