AlienFox

Saskaņā ar infosec pētnieku teikto, jauns rīku komplekts ar nosaukumu AlienFox pašlaik tiek izplatīts, izmantojot populāru ziņojumapmaiņas lietotni Telegram. Rīku kopa ir izstrādāta, lai ļautu apdraudējuma dalībniekiem iegūt akreditācijas datus no API atslēgām un citiem sensitīviem datiem no dažādiem mākoņpakalpojumu sniedzējiem.

SentinelOne kiberdrošības ekspertu publicētais ziņojums atklāj, ka AlienFox ir ļoti modulāra ļaunprātīga programmatūra, kas nepārtraukti attīstās ar jaunām funkcijām un veiktspējas uzlabojumiem. Draudu dalībnieki izmanto AlienFox, lai identificētu un apkopotu pakalpojuma akreditācijas datus no atklātiem vai nepareizi konfigurētiem pakalpojumiem. Ja upuris kļūst par šādu uzbrukumu upuri, tas var izraisīt vairākas sekas, piemēram, palielinātas pakalpojumu izmaksas, klientu uzticības zaudēšana un atlīdzināšanas izmaksas.

Turklāt tas var arī atvērt durvis turpmākām noziedzīgām kampaņām, jo jaunākajās AlienFox versijās ir iekļauts virkne skriptu, kas var automatizēt ļaunprātīgas darbības, izmantojot nozagtos akreditācijas datus. Piemēram, ir skripts, kas ļauj izveidot noturību, kas nozīmē, ka uzbrucējs var saglabāt kontroli pār apdraudēto sistēmu pat pēc pārstartēšanas vai atjaunināšanas. Tas pats skripts arī atvieglo privilēģiju eskalāciju AWS kontos, tādējādi nodrošinot uzbrucējam lielāku piekļuvi un kontroli.

Turklāt viens no AlienFox iekļautajiem skriptiem var automatizēt surogātpasta kampaņas, izmantojot upuru kontus un pakalpojumus, tādējādi nodarot būtisku kaitējumu upura reputācijai un radot papildu finansiālus zaudējumus. Kopumā ir skaidrs, ka kibernoziedznieku AlienFox izmantošanai var būt smagas un ilgstošas sekas upuriem.

AlienFox atrod nepareizi konfigurētus saimniekdatorus

AlienFox ir rīks, ko uzbrucēji izmanto, lai apkopotu nepareizi konfigurētu saimniekdatoru sarakstus, izmantojot skenēšanas platformas, piemēram, LeakIX un SecurityTrails. Ievērības cienīgs ir fakts, ka šī ir arvien izplatītāka iezīme draudu grupās, jo tās mēdz izmantot likumīgus drošības produktus, piemēram, Cobalt Strike, savās ļaunprātīgajās darbībās.

Kad uzbrucēji ir identificējuši ievainojamos serverus, viņi var izmantot dažādus skriptus no AlienFox rīkkopas, lai nozagtu sensitīvu informāciju no mākoņa platformām, piemēram, Amazon Web Services un Microsoft Office 365. Ir vērts atzīmēt, ka, lai gan AlienFox skriptus var izmantot pret virkne tīmekļa pakalpojumu, tie galvenokārt ir paredzēti mākoņdatošanas un programmatūras kā pakalpojuma (SaaS) e-pasta mitināšanas pakalpojumiem.

Daudzas nepareizas konfigurācijas, kas tiek izmantotas, ir saistītas ar populārām tīmekļa sistēmām, piemēram, Laravel, Drupal, WordPress un OpenCart. AlienFox skripti izmanto brutāla spēka paņēmienus IP un apakštīkliem un tīmekļa API, kad runa ir par atvērtā pirmkoda izlūkošanas platformām, piemēram, SecurityTrails un LeakIX, lai pārbaudītu mākoņpakalpojumus un izveidotu mērķu sarakstu.

Tiklīdz tiek identificēts neaizsargāts serveris, uzbrucēji sāk iegūt sensitīvu informāciju. Kibernoziedznieki izmanto skriptus, kuru mērķauditorija ir marķieri un citi noslēpumi no vairāk nekā desmit mākoņpakalpojumiem, tostarp AWS un Office 365, kā arī Google Workspace, Nexmo, Twilio un OneSignal. Ir skaidrs, ka uzbrucēju AlienFox izmantošana var radīt nopietnus draudus organizācijām, kuru darbība ir atkarīga no mākoņpakalpojumiem.

AlienFox ļaunprātīga programmatūra joprojām tiek aktīvi izstrādāta

Līdz šim ir identificētas trīs AlienFox versijas, kas attiecas uz 2022. gada februāri. Ir vērts norādīt, ka daži no atrastajiem skriptiem citi pētnieki ir atzīmējuši kā ļaunprātīgas programmatūras saimes.

Katrs no analizētajiem SES ļaunprātīgajiem rīku komplektiem ir vērsts uz serveriem, izmantojot Laravel PHP ietvaru. Šis fakts var likt domāt, ka Laravel ir īpaši jutīgs pret nepareizu konfigurāciju vai iedarbību.

Interesanti atzīmēt, ka AlienFox v4 ir organizēts atšķirīgi no citiem. Piemēram, katram rīkam šajā versijā ir piešķirts skaitlisks identifikators, piemēram, Tool1 un Tool2. Daži no jaunajiem rīkiem liecina, ka izstrādātāji cenšas piesaistīt jaunus lietotājus vai paplašināt esošo rīku komplektu iespējas. Piemēram, viens rīks pārbauda e-pasta adreses, kas saistītas ar Amazon mazumtirdzniecības kontiem. Ja neviens šāds e-pasts netiek atrasts, skripts izveidos jaunu Amazon kontu, izmantojot e-pasta adresi. Vēl viens rīks automatizē kriptovalūtas maka sēklas, kas īpaši paredzētas Bitcoin un Ethereum.

Šie atklājumi izceļ AlienFox nepārtraukti mainīgo raksturu un tā pieaugošo izsmalcinātību. Organizācijām ir obligāti jāsaglabā modrība un jāveic nepieciešamie pasākumi, lai aizsargātu savas sistēmas pret šādiem draudiem.