AlienFox
Volgens infosec-onderzoekers wordt momenteel een nieuwe toolset met de naam AlienFox verspreid via Telegram, een populaire berichten-app. De toolset is ontworpen om bedreigingsactoren in staat te stellen inloggegevens te verzamelen van API-sleutels en andere gevoelige gegevens van verschillende cloudserviceproviders.
Het rapport van de cyberbeveiligingsexperts van SentinelOne onthult dat AlienFox zeer modulaire malware is die voortdurend evolueert met nieuwe functies en prestatieverbeteringen. Bedreigingsactoren gebruiken AlienFox voor het identificeren en verzamelen van servicereferenties van blootgestelde of verkeerd geconfigureerde services. Als een slachtoffer ten prooi valt aan dergelijke aanvallen, kan dit verschillende gevolgen hebben, zoals hogere servicekosten, verlies van klantvertrouwen en herstelkosten.
Bovendien kan het ook de deuren openen voor verdere criminele campagnes, aangezien de nieuwste versies van AlienFox een reeks scripts bevatten die kwaadaardige operaties kunnen automatiseren met behulp van de gestolen inloggegevens. Er is bijvoorbeeld een script waarmee persistentie kan worden vastgesteld, wat betekent dat de aanvaller de controle over het gecompromitteerde systeem kan behouden, zelfs na een herstart of update. Hetzelfde script vergemakkelijkt ook de escalatie van bevoegdheden in AWS-accounts, waardoor de aanvaller meer toegang en controle krijgt.
Bovendien kan een van de scripts in AlienFox spamcampagnes automatiseren via slachtofferaccounts en -services, waardoor de reputatie van het slachtoffer aanzienlijk wordt geschaad en er extra financiële verliezen ontstaan. Over het algemeen is het duidelijk dat het gebruik van AlienFox door cybercriminelen ernstige en langdurige gevolgen kan hebben voor de slachtoffers.
AlienFox lokaliseert verkeerd geconfigureerde hosts
AlienFox is een tool die aanvallers gebruiken om lijsten met verkeerd geconfigureerde hosts te verzamelen via scanplatforms zoals LeakIX en SecurityTrails. Het is opmerkelijk dat dit een steeds vaker voorkomend kenmerk is onder dreigingsgroepen, aangezien ze de neiging hebben om legitieme beveiligingsproducten, zoals Cobalt Strike, te gebruiken bij hun kwaadaardige operaties.
Zodra de aanvallers de kwetsbare servers hebben geïdentificeerd, kunnen ze een reeks scripts uit de AlienFox-toolkit gebruiken om gevoelige informatie te stelen van cloudplatforms zoals Amazon Web Services en Microsoft Office 365. Het is vermeldenswaard dat hoewel de AlienFox-scripts kunnen worden gebruikt tegen een reeks webservices, ze zijn voornamelijk gericht op cloudgebaseerde en Software-as-a-Service (SaaS) e-mailhostingservices.
Veel van de verkeerde configuraties die worden uitgebuit, houden verband met populaire webframeworks zoals Laravel, Drupal, WordPress en OpenCart. De AlienFox-scripts maken gebruik van brute-force-technieken voor IP's en subnetten, en web-API's als het gaat om open-source intelligentieplatforms zoals SecurityTrails en LeakIX om te controleren op cloudservices en een lijst met doelen te genereren.
Zodra een kwetsbare server is geïdentificeerd, trekken de aanvallers naar binnen om gevoelige informatie te extraheren. De cybercriminelen gebruiken scripts gericht op tokens en andere geheimen van meer dan een dozijn cloudservices, waaronder AWS en Office 365, evenals Google Workspace, Nexmo, Twilio en OneSignal. Het is duidelijk dat het gebruik van AlienFox door aanvallers een aanzienlijke bedreiging kan vormen voor organisaties die voor hun activiteiten afhankelijk zijn van clouddiensten.
AlienFox Malware is nog steeds in actieve ontwikkeling
Tot nu toe zijn er drie versies van AlienFox geïdentificeerd die teruggaan tot februari 2022. Het is de moeite waard erop te wijzen dat sommige van de gevonden scripts door andere onderzoekers zijn getagd als malwarefamilies.
Elk van de SES-misbruikende toolsets die werden geanalyseerd, richt zich op servers met behulp van het Laravel PHP-framework. Dit feit kan erop wijzen dat Laravel bijzonder gevoelig is voor verkeerde configuraties of blootstellingen.
Het is interessant om op te merken dat AlienFox v4 anders is georganiseerd dan de andere. Elk gereedschap in deze versie krijgt bijvoorbeeld een numerieke identificatie, zoals Tool1 en Tool2. Sommige van de nieuwe tools suggereren dat de ontwikkelaars nieuwe gebruikers proberen aan te trekken of de mogelijkheden van bestaande toolkits vergroten. Eén tool controleert bijvoorbeeld op e-mailadressen die zijn gekoppeld aan Amazon-retailaccounts. Als dergelijke e-mails niet worden gevonden, maakt het script een nieuw Amazon-account aan met behulp van het e-mailadres. Een andere tool automatiseert cryptocurrency wallet-seeds specifiek voor Bitcoin en Ethereum.
Deze bevindingen benadrukken de steeds evoluerende aard van AlienFox en de toenemende verfijning ervan. Het is absoluut noodzakelijk dat organisaties waakzaam blijven en de nodige maatregelen nemen om hun systemen tegen dergelijke bedreigingen te beveiligen.
