AlienFox

Prema istraživačima infoseca, novi skup alata pod nazivom AlienFox trenutno se distribuira putem Telegrama, popularne aplikacije za razmjenu poruka. Skup alata dizajniran je kako bi akterima prijetnji omogućio prikupljanje vjerodajnica iz API ključeva i drugih osjetljivih podataka od raznih pružatelja usluga u oblaku.

Izvješće koje su objavili stručnjaci za kibernetičku sigurnost tvrtke SentinelOne otkriva da je AlienFox vrlo modularan zlonamjerni softver koji se neprestano razvija s novim značajkama i poboljšanjima performansi. Akteri prijetnji koriste AlienFox za identifikaciju i prikupljanje vjerodajnica usluga od izloženih ili pogrešno konfiguriranih usluga. Ako žrtva postane žrtva takvih napada, to može dovesti do nekoliko posljedica, kao što su povećani troškovi usluge, gubitak povjerenja korisnika i troškovi popravka.

Osim toga, također može otvoriti vrata za daljnje kriminalne kampanje budući da najnovije verzije AlienFoxa uključuju niz skripti koje mogu automatizirati zlonamjerne operacije korištenjem ukradenih vjerodajnica. Na primjer, postoji skripta koja omogućuje uspostavljanje postojanosti, što znači da napadač može zadržati kontrolu nad kompromitiranim sustavom čak i nakon ponovnog pokretanja ili ažuriranja. Ista skripta također olakšava eskalaciju privilegija u AWS računima, pružajući tako napadaču veći pristup i kontrolu.

Nadalje, jedna od skripti uključenih u AlienFox može automatizirati spam kampanje putem naloga i usluga žrtve, uzrokujući tako značajnu štetu reputaciji žrtve i dovodeći do dodatnih financijskih gubitaka. Sve u svemu, evidentno je da korištenje AlienFoxa od strane kibernetičkih kriminalaca može imati teške i dugotrajne posljedice za žrtve.

AlienFox locira pogrešno konfigurirane hostove

AlienFox je alat koji napadači koriste za prikupljanje popisa pogrešno konfiguriranih hostova putem platformi za skeniranje kao što su LeakIX i SecurityTrails. Važno je napomenuti da je ovo sve češća osobina među skupinama prijetnji jer imaju tendenciju koristiti legitimne sigurnosne proizvode, kao što je Cobalt Strike, u svojim zlonamjernim operacijama.

Nakon što napadači identificiraju ranjive poslužitelje, mogu upotrijebiti niz skripti iz alata AlienFox za krađu osjetljivih informacija s platformi u oblaku kao što su Amazon Web Services i Microsoft Office 365. Važno je napomenuti da iako se skripte AlienFox mogu iskoristiti protiv niz web usluga, prvenstveno su usmjerene na usluge hostinga e-pošte temeljene na oblaku i softver kao usluga (SaaS).

Mnoge pogrešne konfiguracije koje se iskorištavaju povezane su s popularnim web okvirima kao što su Laravel, Drupal, WordPress i OpenCart. AlienFox skripte koriste brute-force tehnike za IP adrese i podmreže te web API-je kada su u pitanju obavještajne platforme otvorenog koda kao što su SecurityTrails i LeakIX za provjeru usluga u oblaku i generiranje popisa ciljeva.

Nakon što se identificira ranjivi poslužitelj, napadači kreću kako bi izvukli osjetljive podatke. Kibernetički kriminalci koriste skripte koje ciljaju tokene i druge tajne s više od desetak usluga u oblaku, uključujući AWS i Office 365, kao i Google Workspace, Nexmo, Twilio i OneSignal. Očito je da korištenje AlienFoxa od strane napadača može predstavljati značajnu prijetnju organizacijama koje se oslanjaju na cloud usluge za svoje operacije.

Zlonamjerni softver AlienFox još uvijek je u aktivnom razvoju

Do sada su identificirane tri verzije AlienFoxa koje sežu u veljaču 2022. Vrijedno je istaknuti da su neke od pronađenih skripti drugi istraživači označili kao obitelji malwarea.

Svaki od skupova alata koji zlorabe SES koji su analizirani cilja poslužitelje koji koriste Laravel PHP okvir. Ova činjenica može sugerirati da je Laravel posebno osjetljiv na pogrešne konfiguracije ili izloženost.

Zanimljivo je napomenuti da je AlienFox v4 organiziran drugačije od ostalih. Na primjer, svakom alatu u ovoj verziji dodijeljen je numerički identifikator, kao što su Alat1 i Alat2. Neki od novih alata sugeriraju da programeri pokušavaju privući nove korisnike ili povećati ono što postojeći setovi alata mogu učiniti. Na primjer, jedan alat provjerava adrese e-pošte povezane s maloprodajnim računima Amazona. Ako nijedna takva e-pošta nije pronađena, skripta će stvoriti novi Amazon račun pomoću adrese e-pošte. Drugi alat automatizira početne vrijednosti novčanika za kriptovalute posebno za Bitcoin i Ethereum.

Ova otkrića naglašavaju stalno razvijajuću prirodu AlienFoxa i njegovu sve veću sofisticiranost. Imperativ je da organizacije ostanu na oprezu i poduzmu potrebne mjere kako bi zaštitile svoje sustave od takvih prijetnji.