AlienFox

Menurut penyelidik infosec, set alat baharu bernama AlienFox sedang diedarkan melalui Telegram, aplikasi pemesejan yang popular. Set alat direka bentuk untuk membolehkan pelaku ancaman memperoleh bukti kelayakan daripada kunci API dan data sensitif lain daripada pelbagai penyedia perkhidmatan awan.

Laporan yang dikeluarkan oleh pakar keselamatan siber di SentinelOne, mendedahkan bahawa AlienFox ialah perisian hasad yang sangat modular yang terus berkembang dengan ciri baharu dan peningkatan prestasi. Aktor ancaman menggunakan AlienFox untuk mengenal pasti dan mengumpul bukti kelayakan perkhidmatan daripada perkhidmatan yang terdedah atau salah konfigurasi. Jika mangsa menjadi mangsa serangan sedemikian, ia boleh membawa kepada beberapa akibat, seperti peningkatan kos perkhidmatan, kehilangan kepercayaan pelanggan dan kos pemulihan.

Di samping itu, ia juga boleh membuka pintu untuk kempen jenayah selanjutnya kerana versi terbaru AlienFox termasuk pelbagai skrip yang boleh mengautomasikan operasi berniat jahat menggunakan bukti kelayakan yang dicuri. Sebagai contoh, terdapat skrip yang membenarkan penubuhan kegigihan, yang bermaksud bahawa penyerang boleh mengekalkan kawalan sistem yang terjejas walaupun selepas but semula atau kemas kini. Skrip yang sama juga memudahkan peningkatan keistimewaan dalam akaun AWS, dengan itu memberikan penyerang akses dan kawalan yang lebih besar.

Tambahan pula, salah satu skrip yang disertakan dalam AlienFox boleh mengautomasikan kempen spam melalui akaun dan perkhidmatan mangsa, dengan itu menyebabkan kemudaratan yang ketara kepada reputasi mangsa dan membawa kepada kerugian kewangan tambahan. Secara keseluruhannya, adalah jelas bahawa penggunaan AlienFox oleh penjenayah siber boleh membawa akibat yang teruk dan berpanjangan kepada mangsa.

AlienFox Menempatkan Hos Salah konfigurasi

AlienFox ialah alat yang digunakan oleh penyerang untuk mengumpul senarai hos yang salah konfigurasi melalui platform pengimbasan seperti LeakIX dan SecurityTrails. Perlu diperhatikan bahawa ini adalah sifat yang semakin biasa di kalangan kumpulan ancaman kerana mereka cenderung menggunakan produk keselamatan yang sah, seperti Cobalt Strike, dalam operasi berniat jahat mereka.

Setelah penyerang mengenal pasti pelayan yang terdedah, mereka boleh menggunakan pelbagai skrip daripada kit alat AlienFox untuk mencuri maklumat sensitif daripada platform awan seperti Perkhidmatan Web Amazon dan Microsoft Office 365. Perlu diingat bahawa sementara skrip AlienFox boleh dimanfaatkan pelbagai perkhidmatan web, ia disasarkan terutamanya pada perkhidmatan pengehosan e-mel berasaskan awan dan Perisian-sebagai-Perkhidmatan (SaaS).

Banyak salah konfigurasi yang dieksploitasi dikaitkan dengan rangka kerja web yang popular seperti Laravel, Drupal, WordPress dan OpenCart. Skrip AlienFox menggunakan teknik kekerasan untuk IP dan subnet, dan API web apabila ia berkaitan dengan platform risikan sumber terbuka seperti SecurityTrails dan LeakIX untuk menyemak perkhidmatan awan dan menjana senarai sasaran.

Sebaik sahaja pelayan yang terdedah dikenal pasti, penyerang bergerak masuk untuk mengekstrak maklumat sensitif. Penjenayah siber menggunakan skrip yang menyasarkan token dan rahsia lain daripada lebih sedozen perkhidmatan awan, termasuk AWS dan Office 365, serta Google Workspace, Nexmo, Twilio dan OneSignal. Jelas sekali bahawa penggunaan AlienFox oleh penyerang boleh menimbulkan ancaman besar kepada organisasi yang bergantung pada perkhidmatan awan untuk operasi mereka.

Perisian Hasad AlienFox Masih Dalam Pembangunan Aktif

Tiga versi AlienFox kembali ke Februari 2022 telah dikenal pasti setakat ini. Perlu diingatkan bahawa beberapa skrip yang ditemui telah ditandakan sebagai keluarga perisian hasad oleh penyelidik lain.

Setiap set alat yang menyalahgunakan SES yang dianalisis menyasarkan pelayan menggunakan rangka kerja PHP Laravel. Fakta ini mungkin mencadangkan bahawa Laravel sangat terdedah kepada salah konfigurasi atau pendedahan.

Adalah menarik untuk diperhatikan bahawa AlienFox v4 disusun secara berbeza daripada yang lain. Sebagai contoh, setiap alat dalam versi ini diberikan pengecam berangka, seperti Alat1 dan Alat2. Beberapa alat baharu mencadangkan bahawa pembangun cuba menarik pengguna baharu atau menambah perkara yang boleh dilakukan oleh kit alat sedia ada. Sebagai contoh, satu alat menyemak alamat e-mel yang dipautkan ke akaun runcit Amazon. Jika tiada e-mel sedemikian ditemui, skrip akan membuat akaun Amazon baharu menggunakan alamat e-mel. Alat lain mengautomasikan benih dompet cryptocurrency khusus untuk Bitcoin dan Ethereum.

Penemuan ini menyerlahkan sifat AlienFox yang sentiasa berkembang dan kecanggihannya yang semakin meningkat. Adalah penting bagi organisasi untuk terus berwaspada dan mengambil langkah-langkah yang perlu untuk melindungi sistem mereka daripada ancaman sedemikian.