AlienFox

Potrivit cercetătorilor Infosec, un nou set de instrumente numit AlienFox este în prezent distribuit prin Telegram, o aplicație populară de mesagerie. Setul de instrumente este conceput pentru a permite actorilor amenințărilor să colecteze acreditări din cheile API și alte date sensibile de la diverși furnizori de servicii cloud.

Raportul lansat de experții în securitate cibernetică de la SentinelOne dezvăluie că AlienFox este un malware extrem de modular, care evoluează continuu, cu noi funcții și îmbunătățiri ale performanței. Actorii amenințărilor folosesc AlienFox pentru identificarea și colectarea acreditărilor de serviciu de la serviciile expuse sau configurate greșit. Dacă o victimă este pradă unor astfel de atacuri, aceasta poate duce la mai multe consecințe, cum ar fi costuri crescute ale serviciilor, pierderea încrederii clienților și costuri de remediere.

În plus, poate deschide porțile pentru alte campanii criminale, deoarece cele mai recente versiuni ale AlienFox includ o serie de scripturi care pot automatiza operațiuni rău intenționate folosind acreditările furate. De exemplu, există un script care permite stabilirea persistenței, ceea ce înseamnă că atacatorul poate menține controlul asupra sistemului compromis chiar și după o repornire sau o actualizare. Același script facilitează, de asemenea, escaladarea privilegiilor în conturile AWS, oferind astfel atacatorului acces și control mai bun.

În plus, unul dintre scripturile incluse în AlienFox poate automatiza campaniile de spam prin conturile și serviciile victimei, provocând astfel prejudicii semnificative reputației victimei și ducând la pierderi financiare suplimentare. În general, este evident că utilizarea AlienFox de către infractorii cibernetici poate avea consecințe grave și de lungă durată pentru victime.

AlienFox localizează gazde configurate greșit

AlienFox este un instrument pe care atacatorii îl folosesc pentru a colecta liste de gazde configurate greșit prin intermediul platformelor de scanare precum LeakIX și SecurityTrails. Este de remarcat faptul că aceasta este o trăsătură din ce în ce mai comună în rândul grupurilor de amenințări, deoarece acestea tind să utilizeze produse de securitate legitime, cum ar fi Cobalt Strike, în operațiunile lor rău intenționate.

Odată ce atacatorii au identificat serverele vulnerabile, aceștia pot folosi o serie de scripturi din setul de instrumente AlienFox pentru a fura informații sensibile de pe platforme cloud, cum ar fi Amazon Web Services și Microsoft Office 365. Merită remarcat faptul că, în timp ce scripturile AlienFox pot fi folosite împotriva o gamă largă de servicii web, acestea sunt vizate în principal către servicii de găzduire de e-mail bazate pe cloud și Software-as-a-Service (SaaS).

Multe dintre configurațiile greșite care sunt exploatate sunt asociate cu cadre web populare, cum ar fi Laravel, Drupal, WordPress și OpenCart. Scripturile AlienFox utilizează tehnici de forță brută pentru IP-uri și subrețele și API-uri web atunci când vine vorba de platforme de informații open-source precum SecurityTrails și LeakIX pentru a verifica serviciile cloud și a genera o listă de ținte.

Odată ce un server vulnerabil este identificat, atacatorii se mută pentru a extrage informații sensibile. Infractorii cibernetici folosesc scripturi care vizează jetoane și alte secrete de la peste o duzină de servicii cloud, inclusiv AWS și Office 365, precum și Google Workspace, Nexmo, Twilio și OneSignal. Este evident că utilizarea AlienFox de către atacatori poate reprezenta o amenințare semnificativă pentru organizațiile care se bazează pe servicii cloud pentru operațiunile lor.

Programul malware AlienFox este încă în curs de dezvoltare activă

Până acum au fost identificate trei versiuni ale AlienFox începând cu februarie 2022. Merită subliniat faptul că unele dintre scripturile găsite au fost etichetate ca familii de malware de către alți cercetători.

Fiecare dintre seturile de instrumente care abuzează SES care au fost analizate vizează servere folosind cadrul PHP Laravel. Acest fapt poate sugera că Laravel este deosebit de susceptibil la configurări greșite sau expuneri.

Este interesant de observat că AlienFox v4 este organizat diferit de celelalte. De exemplu, fiecărui instrument din această versiune i se atribuie un identificator numeric, cum ar fi Instrumentul1 și Instrumentul2. Unele dintre noile instrumente sugerează că dezvoltatorii încearcă să atragă noi utilizatori sau să sporească ceea ce pot face seturile de instrumente existente. De exemplu, un instrument verifică adresele de e-mail legate de conturile de vânzare cu amănuntul Amazon. Dacă nu se găsește niciun astfel de e-mail, scriptul va crea un nou cont Amazon folosind adresa de e-mail. Un alt instrument automatizează semințele de portofel de criptomonede în mod special pentru Bitcoin și Ethereum.

Aceste descoperiri evidențiază natura în continuă evoluție a AlienFox și sofisticarea sa crescândă. Este imperativ ca organizațiile să rămână vigilente și să ia măsurile necesare pentru a-și asigura sistemele împotriva unor astfel de amenințări.