AlienFox

Według badaczy infosec, nowy zestaw narzędzi o nazwie AlienFox jest obecnie dystrybuowany za pośrednictwem Telegrama, popularnej aplikacji do przesyłania wiadomości. Zestaw narzędzi został zaprojektowany, aby umożliwić cyberprzestępcom zbieranie danych uwierzytelniających z kluczy API i innych wrażliwych danych od różnych dostawców usług w chmurze.

Raport opublikowany przez ekspertów ds. cyberbezpieczeństwa w SentinelOne ujawnia, że AlienFox to wysoce modułowe złośliwe oprogramowanie, które stale ewoluuje dzięki nowym funkcjom i ulepszeniom wydajności. Aktorzy zajmujący się zagrożeniami wykorzystują AlienFox do identyfikowania i zbierania poświadczeń usług z odsłoniętych lub źle skonfigurowanych usług. Jeśli ofiara padnie ofiarą takich ataków, może to prowadzić do kilku konsekwencji, takich jak zwiększone koszty obsługi, utrata zaufania klientów i koszty działań naprawczych.

Ponadto może również otworzyć drzwi do dalszych kampanii przestępczych, ponieważ najnowsze wersje AlienFox zawierają szereg skryptów, które mogą zautomatyzować złośliwe operacje przy użyciu skradzionych danych uwierzytelniających. Na przykład istnieje skrypt, który pozwala na ustanowienie trwałości, co oznacza, że osoba atakująca może zachować kontrolę nad zaatakowanym systemem nawet po ponownym uruchomieniu lub aktualizacji. Ten sam skrypt ułatwia również eskalację uprawnień na kontach AWS, zapewniając w ten sposób atakującemu większy dostęp i kontrolę.

Co więcej, jeden ze skryptów zawartych w AlienFox może zautomatyzować kampanie spamowe za pośrednictwem kont i usług ofiar, powodując w ten sposób znaczną szkodę dla reputacji ofiary i prowadząc do dodatkowych strat finansowych. Ogólnie rzecz biorąc, oczywiste jest, że wykorzystywanie AlienFox przez cyberprzestępców może mieć poważne i długotrwałe konsekwencje dla ofiar.

AlienFox lokalizuje źle skonfigurowane hosty

AlienFox to narzędzie, którego atakujący używają do zbierania list źle skonfigurowanych hostów za pośrednictwem platform skanujących, takich jak LeakIX i SecurityTrails. Warto zauważyć, że jest to coraz bardziej powszechna cecha wśród grup zagrożeń, ponieważ mają one tendencję do wykorzystywania legalnych produktów zabezpieczających, takich jak Cobalt Strike, w swoich złośliwych operacjach.

Gdy osoby atakujące zidentyfikują podatne serwery, mogą użyć szeregu skryptów z zestawu narzędzi AlienFox do kradzieży poufnych informacji z platform chmurowych, takich jak Amazon Web Services i Microsoft Office 365. Warto zauważyć, że chociaż skrypty AlienFox można wykorzystać przeciwko szereg usług internetowych, są one przede wszystkim ukierunkowane na usługi hostingu poczty e-mail oparte na chmurze i oprogramowanie jako usługa (SaaS).

Wiele wykorzystywanych błędnych konfiguracji jest związanych z popularnymi frameworkami internetowymi, takimi jak Laravel, Drupal, WordPress i OpenCart. Skrypty AlienFox wykorzystują techniki brutalnej siły dla adresów IP i podsieci oraz internetowych interfejsów API, jeśli chodzi o platformy analityczne typu open source, takie jak SecurityTrails i LeakIX, do sprawdzania usług w chmurze i generowania listy celów.

Po zidentyfikowaniu podatnego serwera atakujący wkraczają, aby wydobyć poufne informacje. Cyberprzestępcy wykorzystują skrypty atakujące tokeny i inne tajemnice z kilkunastu usług chmurowych, w tym AWS i Office 365, a także Google Workspace, Nexmo, Twilio i OneSignal. Oczywiste jest, że wykorzystanie AlienFox przez atakujących może stanowić poważne zagrożenie dla organizacji, które opierają swoją działalność na usługach w chmurze.

Złośliwe oprogramowanie AlienFox jest nadal aktywnie rozwijane

Do tej pory zidentyfikowano trzy wersje AlienFox sięgające lutego 2022 roku. Warto zauważyć, że niektóre ze znalezionych skryptów zostały oznaczone przez innych badaczy jako rodziny złośliwego oprogramowania.

Każdy z analizowanych zestawów narzędzi nadużywających SES atakuje serwery wykorzystujące framework Laravel PHP. Fakt ten może sugerować, że Laravel jest szczególnie podatny na błędne konfiguracje lub ekspozycje.

Warto zauważyć, że AlienFox v4 jest zorganizowany inaczej niż pozostałe. Na przykład każde narzędzie w tej wersji ma przypisany numeryczny identyfikator, taki jak Narzędzie1 i Narzędzie2. Niektóre z nowych narzędzi sugerują, że programiści próbują przyciągnąć nowych użytkowników lub zwiększyć możliwości istniejących zestawów narzędzi. Na przykład jedno narzędzie sprawdza adresy e-mail powiązane z kontami detalicznymi Amazon. Jeśli nie zostaną znalezione żadne takie e-maile, skrypt utworzy nowe konto Amazon przy użyciu adresu e-mail. Inne narzędzie automatyzuje seedy portfela kryptowalut specjalnie dla Bitcoin i Ethereum.

Odkrycia te podkreślają stale ewoluujący charakter AlienFox i jego rosnące wyrafinowanie. Organizacje muszą zachować czujność i podjąć niezbędne środki w celu zabezpieczenia swoich systemów przed takimi zagrożeniami.