AlienFox
Pasak „Infosec“ tyrėjų, naujas įrankių rinkinys „AlienFox“ šiuo metu platinamas per populiarią pranešimų siuntimo programą „Telegram“. Įrankių rinkinys sukurtas taip, kad grėsmės veikėjai galėtų surinkti kredencialus iš API raktų ir kitų slaptų duomenų iš įvairių debesies paslaugų teikėjų.
Ataskaitoje, kurią paskelbė „SentinelOne“ kibernetinio saugumo ekspertai, atskleidžiama, kad „AlienFox“ yra labai modulinė kenkėjiška programa, kuri nuolat tobulinama su naujomis funkcijomis ir našumo patobulinimais. Grėsmės veikėjai naudoja „AlienFox“, kad nustatytų ir rinktų paslaugų kredencialus iš atskleistų ar netinkamai sukonfigūruotų paslaugų. Jei auka tampa tokių išpuolių auka, tai gali sukelti keletą pasekmių, tokių kaip paslaugų kainos padidėjimas, klientų pasitikėjimo praradimas ir ištaisymo išlaidos.
Be to, tai taip pat gali atverti duris tolimesnėms nusikalstamoms kampanijoms, nes naujausiose „AlienFox“ versijose yra daugybė scenarijų, kurie gali automatizuoti kenkėjiškas operacijas naudojant pavogtus kredencialus. Pavyzdžiui, yra scenarijus, leidžiantis nustatyti patvarumą, o tai reiškia, kad užpuolikas gali išlaikyti pažeistos sistemos kontrolę net po perkrovimo ar atnaujinimo. Tas pats scenarijus taip pat palengvina privilegijų eskalavimą AWS paskyrose ir taip suteikia užpuolikui didesnę prieigą ir valdymą.
Be to, vienas iš scenarijų, įtrauktų į AlienFox, gali automatizuoti šlamšto kampanijas per aukos paskyras ir paslaugas, taip sukeldamas didelę žalą aukos reputacijai ir sukeldamas papildomų finansinių nuostolių. Apskritai akivaizdu, kad kibernetinių nusikaltėlių naudojimasis „AlienFox“ gali turėti sunkių ir ilgalaikių pasekmių aukoms.
„AlienFox“ aptinka netinkamai sukonfigūruotus pagrindinius kompiuterius
„AlienFox“ yra įrankis, kurį užpuolikai naudoja netinkamai sukonfigūruotų pagrindinių kompiuterių sąrašams rinkti naudodami nuskaitymo platformas, tokias kaip „LeakIX“ ir „SecurityTrails“. Pastebėtina, kad tai vis labiau paplitęs bruožas tarp grėsmių grupių, nes jos savo kenkėjiškose operacijose linkusios naudoti teisėtus saugos produktus, tokius kaip „Cobalt Strike“.
Kai užpuolikai nustato pažeidžiamus serverius, jie gali naudoti įvairius scenarijus iš AlienFox įrankių rinkinio, kad pavogtų slaptą informaciją iš debesies platformų, tokių kaip Amazon Web Services ir Microsoft Office 365. Verta paminėti, kad nors AlienFox scenarijus galima panaudoti prieš įvairių žiniatinklio paslaugų, jos visų pirma skirtos debesų ir programinės įrangos kaip paslauga (SaaS) el. pašto prieglobos paslaugoms.
Daugelis išnaudojamų netinkamų konfigūracijų yra susijusios su populiariomis žiniatinklio sistemomis, tokiomis kaip Laravel, Drupal, WordPress ir OpenCart. „AlienFox“ scenarijai naudoja žiaurios jėgos metodus IP ir potinkliams bei žiniatinklio API, kai kalbama apie atvirojo kodo žvalgybos platformas, tokias kaip „SecurityTrails“ ir „LeakIX“, kad patikrintų, ar nėra debesies paslaugų, ir sugeneruotų tikslų sąrašą.
Kai nustatomas pažeidžiamas serveris, užpuolikai imasi slaptos informacijos. Kibernetiniai nusikaltėliai naudoja scenarijus, nukreiptus į žetonus ir kitas paslaptis iš daugiau nei tuzino debesies paslaugų, įskaitant AWS ir Office 365, taip pat „Google Workspace“, „Nexmo“, „Twilio“ ir „OneSignal“. Akivaizdu, kad užpuolikų naudojimasis „AlienFox“ gali kelti didelę grėsmę organizacijoms, kurios savo veiklą remia debesijos paslaugomis.
„AlienFox“ kenkėjiška programa vis dar aktyviai kuriama
Iki šiol buvo nustatytos trys „AlienFox“ versijos, siekiančios 2022 m. vasario mėn. Verta pažymėti, kad kai kuriuos rastus scenarijus kiti tyrinėtojai pažymėjo kaip kenkėjiškų programų šeimas.
Kiekvienas iš analizuotų SES piktnaudžiaujančių įrankių rinkinių yra skirtas serveriams, naudojantiems Laravel PHP sistemą. Šis faktas gali reikšti, kad Laravel yra ypač jautrus netinkamai konfigūracijai ar poveikiui.
Įdomu pastebėti, kad „AlienFox v4“ organizuojamas kitaip nei kiti. Pavyzdžiui, kiekvienam šios versijos įrankiui priskiriamas skaitmeninis identifikatorius, pvz., Tool1 ir Tool2. Kai kurie nauji įrankiai rodo, kad kūrėjai bando pritraukti naujų vartotojų arba papildyti esamų įrankių rinkinių galimybes. Pavyzdžiui, vienas įrankis tikrina el. pašto adresus, susietus su „Amazon“ mažmeninėmis paskyromis. Jei tokių el. laiškų nerasta, scenarijus sukurs naują „Amazon“ paskyrą naudodamas el. pašto adresą. Kitas įrankis automatizuoja kriptovaliutų piniginės sėklas specialiai Bitcoin ir Ethereum.
Šios išvados pabrėžia nuolat besikeičiančią AlienFox prigimtį ir didėjantį jos sudėtingumą. Organizacijoms būtina išlikti budrioms ir imtis būtinų priemonių, kad apsaugotų savo sistemas nuo tokių grėsmių.
