AlienFox

Ifølge infosec-forskere distribueres for tiden et nytt verktøysett kalt AlienFox via Telegram, en populær meldingsapp. Verktøysettet er utviklet for å gjøre det mulig for trusselaktører å hente inn legitimasjon fra API-nøkler og andre sensitive data fra ulike skytjenesteleverandører.

Rapporten utgitt av cybersikkerhetsekspertene hos SentinelOne, avslører at AlienFox er en svært modulær skadelig programvare som kontinuerlig utvikler seg med nye funksjoner og ytelsesforbedringer. Trusselaktører bruker AlienFox for å identifisere og samle inn tjenestelegitimasjon fra eksponerte eller feilkonfigurerte tjenester. Dersom et offer blir offer for slike angrep, kan det føre til flere konsekvenser, som økte servicekostnader, tap av kundetillit og utbedringskostnader.

I tillegg kan det også åpne dørene for ytterligere kriminelle kampanjer ettersom de nyeste versjonene av AlienFox inkluderer en rekke skript som kan automatisere ondsinnede operasjoner ved å bruke den stjålne legitimasjonen. For eksempel er det et skript som gjør det mulig å etablere utholdenhet, noe som betyr at angriperen kan opprettholde kontroll over det kompromitterte systemet selv etter en omstart eller oppdatering. Det samme skriptet letter også rettighetseskalering i AWS-kontoer, og gir dermed angriperen større tilgang og kontroll.

Videre kan ett av skriptene som er inkludert i AlienFox automatisere spam-kampanjer gjennom offerkontoer og tjenester, og dermed forårsake betydelig skade på offerets omdømme og føre til ytterligere økonomiske tap. Samlet sett er det åpenbart at nettkriminelles bruk av AlienFox kan ha alvorlige og langvarige konsekvenser for ofrene.

AlienFox lokaliserer feilkonfigurerte verter

AlienFox er et verktøy som angripere bruker til å samle lister over feilkonfigurerte verter via skanneplattformer som LeakIX og SecurityTrails. Det er bemerkelsesverdig at dette er et stadig mer vanlig trekk blant trusselgrupper ettersom de har en tendens til å bruke legitime sikkerhetsprodukter, som Cobalt Strike, i sine ondsinnede operasjoner.

Når angriperne har identifisert de sårbare serverne, kan de bruke en rekke skript fra AlienFox-verktøysettet for å stjele sensitiv informasjon fra skyplattformer som Amazon Web Services og Microsoft Office 365. Det er verdt å merke seg at mens AlienFox-skriptene kan utnyttes mot en rekke webtjenester, de er primært rettet mot skybaserte og Software-as-a-Service (SaaS) e-postvertstjenester.

Mange av feilkonfigurasjonene som utnyttes er assosiert med populære nettrammeverk som Laravel, Drupal, WordPress og OpenCart. AlienFox-skriptene bruker brute-force-teknikker for IP-er og undernett, og web-API-er når det gjelder åpen kildekode-intelligensplattformer som SecurityTrails og LeakIX for å se etter skytjenester og generere en liste over mål.

Når en sårbar server er identifisert, flytter angriperne inn for å trekke ut sensitiv informasjon. Nettkriminelle bruker skript rettet mot tokens og andre hemmeligheter fra over et dusin skytjenester, inkludert AWS og Office 365, samt Google Workspace, Nexmo, Twilio og OneSignal. Det er åpenbart at bruk av AlienFox av angripere kan utgjøre en betydelig trussel for organisasjoner som er avhengige av skytjenester for sine operasjoner.

AlienFox Malware er fortsatt under aktiv utvikling

Tre versjoner av AlienFox som går tilbake til februar 2022 er identifisert så langt. Det er verdt å påpeke at noen av skriptene som ble funnet har blitt merket som skadevarefamilier av andre forskere.

Hvert av de SES-misbrukende verktøysettene som ble analysert målretter mot servere ved å bruke Laravel PHP-rammeverket. Dette faktum kan tyde på at Laravel er spesielt utsatt for feilkonfigurasjoner eller eksponeringer.

Det er interessant å merke seg at AlienFox v4 er organisert annerledes enn de andre. For eksempel er hvert verktøy i denne versjonen tildelt en numerisk identifikator, for eksempel Tool1 og Tool2. Noen av de nye verktøyene antyder at utviklerne prøver å tiltrekke seg nye brukere eller utvide hva eksisterende verktøysett kan gjøre. For eksempel ser ett verktøy etter e-postadresser knyttet til Amazon-butikkkontoer. Hvis ingen slike e-poster blir funnet, vil skriptet opprette en ny Amazon-konto ved å bruke e-postadressen. Et annet verktøy automatiserer cryptocurrency lommebokfrø spesielt for Bitcoin og Ethereum.

Disse funnene fremhever den stadig utviklende naturen til AlienFox og dens økende sofistikering. Det er viktig for organisasjoner å være årvåkne og iverksette nødvendige tiltak for å sikre systemene sine mot slike trusler.