AlienFox

Infosec 연구원에 따르면 AlienFox라는 새로운 도구 세트가 현재 인기 있는 메시징 앱인 Telegram을 통해 배포되고 있습니다. 이 도구 세트는 위협 행위자가 다양한 클라우드 서비스 공급자의 API 키 및 기타 민감한 데이터에서 자격 증명을 수집할 수 있도록 설계되었습니다.

SentinelOne의 사이버 보안 전문가가 발표한 보고서에 따르면 AlienFox는 새로운 기능과 성능 개선으로 지속적으로 진화하는 고도로 모듈화된 맬웨어입니다. 위협 행위자는 AlienFox를 사용하여 노출되거나 잘못 구성된 서비스에서 서비스 자격 증명을 식별하고 수집합니다. 피해자가 이러한 공격의 희생양이 되면 서비스 비용 증가, 고객 신뢰 상실, 치료 비용 증가와 같은 여러 가지 결과를 초래할 수 있습니다.

또한 최신 버전의 AlienFox에는 훔친 자격 증명을 사용하여 악의적인 작업을 자동화할 수 있는 다양한 스크립트가 포함되어 있으므로 추가 범죄 캠페인의 문을 열 수도 있습니다. 예를 들어 지속성 설정을 허용하는 스크립트가 있습니다. 이는 공격자가 재부팅 또는 업데이트 후에도 손상된 시스템의 제어를 유지할 수 있음을 의미합니다. 또한 동일한 스크립트는 AWS 계정의 권한 상승을 촉진하여 공격자에게 더 많은 액세스 및 제어 권한을 제공합니다.

또한 AlienFox에 포함된 스크립트 중 하나는 피해자 계정 및 서비스를 통해 스팸 캠페인을 자동화하여 피해자의 평판에 심각한 피해를 입히고 추가적인 재정적 손실을 초래할 수 있습니다. 전반적으로 사이버 범죄자가 AlienFox를 사용하면 피해자에게 심각하고 오래 지속되는 결과를 초래할 수 있음이 분명합니다.

AlienFox는 잘못 구성된 호스트를 찾습니다.

AlienFox는 공격자가 LeakIX 및 SecurityTrails와 같은 검색 플랫폼을 통해 잘못 구성된 호스트 목록을 수집하는 데 사용하는 도구입니다. 악의적인 작업에 Cobalt Strike와 같은 합법적인 보안 제품을 사용하는 경향이 있는 위협 그룹 사이에서 이러한 특성이 점점 더 일반화되고 있다는 점은 주목할 만합니다.

공격자가 취약한 서버를 식별하면 AlienFox 툴킷의 다양한 스크립트를 사용하여 Amazon Web Services 및 Microsoft Office 365와 같은 클라우드 플랫폼에서 민감한 정보를 훔칠 수 있습니다. AlienFox 스크립트는 웹 서비스의 범위는 주로 클라우드 기반 및 SaaS(Software-as-a-Service) 이메일 호스팅 서비스를 대상으로 합니다.

악용되는 많은 잘못된 구성은 Laravel, Drupal, WordPress 및 OpenCart와 같은 널리 사용되는 웹 프레임워크와 관련이 있습니다. AlienFox 스크립트는 클라우드 서비스를 확인하고 대상 목록을 생성하기 위해 SecurityTrails 및 LeakIX와 같은 오픈 소스 인텔리전스 플랫폼과 관련하여 IP 및 서브넷과 웹 API에 무차별 대입 기술을 활용합니다.

취약한 서버가 식별되면 공격자는 중요한 정보를 추출하기 위해 이동합니다. 사이버 범죄자는 AWS, Office 365, Google Workspace, Nexmo, Twilio, OneSignal 등 12개 이상의 클라우드 서비스에서 토큰 및 기타 비밀을 대상으로 하는 스크립트를 사용합니다. 공격자가 AlienFox를 사용하면 작업을 위해 클라우드 서비스에 의존하는 조직에 심각한 위협이 될 수 있음이 분명합니다.

AlienFox 맬웨어는 아직 활발히 개발 중입니다.

2022년 2월로 거슬러 올라가는 세 가지 버전의 AlienFox가 지금까지 확인되었습니다. 발견된 스크립트 중 일부는 다른 연구원에 의해 맬웨어 계열로 태그가 지정되었다는 점을 지적할 가치가 있습니다.

분석된 각 SES 악용 도구 세트는 Laravel PHP 프레임워크를 사용하는 서버를 대상으로 합니다. 이 사실은 Laravel이 특히 잘못된 구성이나 노출에 취약하다는 것을 암시할 수 있습니다.

AlienFox v4가 다른 것들과 다르게 구성되어 있다는 점은 흥미롭습니다. 예를 들어, 이 버전의 각 도구에는 Tool1 및 Tool2와 같은 숫자 식별자가 할당됩니다. 새로운 도구 중 일부는 개발자가 새로운 사용자를 유치하거나 기존 도구 키트가 수행할 수 있는 기능을 확장하려고 시도하고 있음을 시사합니다. 예를 들어 한 도구는 Amazon 소매 계정에 연결된 이메일 주소를 확인합니다. 그러한 이메일이 없으면 스크립트는 이메일 주소를 사용하여 새 Amazon 계정을 생성합니다. 또 다른 도구는 특히 비트코인과 이더리움을 위한 암호화폐 지갑 시드를 자동화합니다.

이러한 결과는 끊임없이 진화하는 AlienFox의 특성과 점점 더 정교해지는 특성을 강조합니다. 조직은 경계를 유지하고 그러한 위협으로부터 시스템을 보호하기 위해 필요한 조치를 취하는 것이 필수적입니다.