AlienFox

Az infosec kutatói szerint az AlienFox nevű új eszközkészletet jelenleg a Telegramon, egy népszerű üzenetküldő alkalmazáson keresztül terjesztik. Az eszközkészletet úgy tervezték, hogy lehetővé tegye a fenyegetés szereplői számára, hogy hitelesítési adatokat gyűjtsenek be API-kulcsokból és más érzékeny adatokból a különböző felhőszolgáltatóktól.

A SentinelOne kiberbiztonsági szakértői által közzétett jelentésből kiderül, hogy az AlienFox egy rendkívül moduláris kártevő, amely folyamatosan fejlődik új funkciókkal és teljesítményjavításokkal. A fenyegetés szereplői az AlienFox segítségével azonosítják és gyűjtik a szolgáltatás hitelesítő adatait a nyilvánosságra hozott vagy rosszul konfigurált szolgáltatásokból. Ha egy áldozat áldozatává válik az ilyen támadásoknak, az számos következménnyel járhat, például megnövekedett szolgáltatási költségekkel, az ügyfelek bizalmának elvesztésével és a kármentesítési költségekkel.

Ezenkívül további bűnözői kampányok előtt is megnyithatja a kaput, mivel az AlienFox legújabb verziói számos olyan szkriptet tartalmaznak, amelyek automatizálhatják a rosszindulatú műveleteket az ellopott hitelesítő adatok segítségével. Például létezik egy szkript, amely lehetővé teszi a perzisztencia létrehozását, ami azt jelenti, hogy a támadó újraindítás vagy frissítés után is fenntarthatja az irányítást a feltört rendszer felett. Ugyanez a szkript az AWS-fiókokban is megkönnyíti a jogosultságok kiterjesztését, ezáltal a támadónak nagyobb hozzáférést és ellenőrzést biztosít.

Ezenkívül az AlienFoxban található egyik szkript képes automatizálni a spamkampányokat az áldozati fiókokon és szolgáltatásokon keresztül, ezáltal jelentős károkat okozva az áldozat hírnevében, és további pénzügyi veszteségekhez vezethet. Összességében nyilvánvaló, hogy az AlienFox kiberbűnözők általi használata súlyos és hosszan tartó következményekkel járhat az áldozatokra nézve.

Az AlienFox megkeresi a rosszul konfigurált gazdagépeket

Az AlienFox egy olyan eszköz, amelyet a támadók a rosszul konfigurált gazdagépek listájának összegyűjtésére használnak olyan vizsgálati platformokon, mint a LeakIX és a SecurityTrails. Figyelemre méltó, hogy ez egyre gyakoribb vonás a fenyegető csoportok körében, mivel hajlamosak legális biztonsági termékeket, például a Cobalt Strike-ot használni rosszindulatú műveleteik során.

Miután a támadók azonosították a sebezhető kiszolgálókat, az AlienFox eszközkészletből származó szkriptek széles skáláját használhatják, hogy bizalmas információkat lopjanak el felhőplatformokról, például az Amazon Web Servicesről és a Microsoft Office 365-ről. Érdemes megjegyezni, hogy bár az AlienFox szkriptek kiaknázhatók. egy sor webszolgáltatás, elsősorban a felhőalapú és a Software-as-a-Service (SaaS) e-mail hosting szolgáltatásokat célozzák.

A kihasznált hibás konfigurációk közül sok olyan népszerű webes keretrendszerhez kapcsolódik, mint a Laravel, Drupal, WordPress és OpenCart. Az AlienFox szkriptek brute-force technikákat használnak az IP-k és alhálózatok, valamint webes API-k esetében, amikor olyan nyílt forráskódú intelligenciaplatformokról van szó, mint a SecurityTrails és a LeakIX, hogy ellenőrizzék a felhőszolgáltatásokat és létrehozzák a célpontok listáját.

A sebezhető kiszolgáló azonosítása után a támadók érzékeny információk kinyerésére lépnek. A kiberbűnözők tokeneket és más titkokat célzó szkripteket használnak több mint egy tucat felhőszolgáltatásból, köztük az AWS-ből és az Office 365-ből, valamint a Google Workspace-ből, a Nexmo-ból, a Twilio-ból és a OneSignal-ból. Nyilvánvaló, hogy az AlienFox támadók általi használata jelentős veszélyt jelenthet azokra a szervezetekre, amelyek tevékenységük során felhőszolgáltatásokra támaszkodnak.

Az AlienFox malware még mindig aktív fejlesztés alatt áll

Az AlienFox három verzióját azonosították eddig 2022 februárjáig. Érdemes kiemelni, hogy a talált szkriptek egy részét más kutatók rosszindulatú programcsaládként jelölték meg.

A SES-t visszaélő eszközkészletek mindegyike a Laravel PHP keretrendszert használó szervereket célozza meg. Ez a tény arra utalhat, hogy a Laravel különösen érzékeny a hibás konfigurációkra vagy az expozíciókra.

Érdekes megjegyezni, hogy az AlienFox v4 eltér a többitől. Például ebben a verzióban minden eszközhöz numerikus azonosító van hozzárendelve, például Tool1 és Tool2. Az új eszközök némelyike azt sugallja, hogy a fejlesztők megpróbálnak új felhasználókat vonzani, vagy bővíteni a meglévő eszközkészletek képességeit. Például az egyik eszköz ellenőrzi az Amazon kiskereskedelmi fiókokhoz kapcsolódó e-mail címeket. Ha nem található ilyen e-mail, a szkript létrehoz egy új Amazon-fiókot az e-mail cím használatával. Egy másik eszköz automatizálja a kriptovaluta pénztárca magokat kifejezetten a Bitcoin és az Ethereum számára.

Ezek az eredmények rávilágítanak az AlienFox folyamatosan fejlődő természetére és egyre növekvő kifinomultságára. A szervezeteknek feltétlenül ébernek kell maradniuk, és meg kell tenniük a szükséges intézkedéseket annak érdekében, hogy megvédjék rendszereiket az ilyen fenyegetésekkel szemben.