AlienFox

По словам исследователей информационной безопасности, новый набор инструментов под названием AlienFox в настоящее время распространяется через Telegram, популярное приложение для обмена сообщениями. Набор инструментов предназначен для того, чтобы злоумышленники могли собирать учетные данные из ключей API и других конфиденциальных данных от различных поставщиков облачных услуг.

В отчете, опубликованном экспертами по кибербезопасности SentinelOne, говорится, что AlienFox представляет собой высокомодульную вредоносную программу, которая постоянно развивается, добавляя новые функции и улучшая производительность. Злоумышленники используют AlienFox для идентификации и сбора учетных данных службы из открытых или неправильно настроенных служб. Если жертва становится жертвой таких атак, это может привести к нескольким последствиям, таким как увеличение стоимости обслуживания, потеря доверия клиентов и затраты на восстановление.

Кроме того, он также может открыть двери для дальнейших преступных кампаний, поскольку последние версии AlienFox включают ряд сценариев, которые могут автоматизировать вредоносные операции с использованием украденных учетных данных. Например, существует сценарий, который позволяет установить постоянство, что означает, что злоумышленник может сохранить контроль над скомпрометированной системой даже после перезагрузки или обновления. Тот же скрипт также облегчает повышение привилегий в учетных записях AWS, тем самым предоставляя злоумышленнику больший доступ и контроль.

Кроме того, один из скриптов, входящих в состав AlienFox, может автоматизировать спам-кампании через учетные записи и сервисы жертвы, тем самым нанося существенный вред репутации жертвы и приводя к дополнительным финансовым потерям. В целом очевидно, что использование AlienFox киберпреступниками может иметь серьезные и долгосрочные последствия для жертв.

AlienFox находит неправильно настроенные хосты

AlienFox — это инструмент, который злоумышленники используют для сбора списков неправильно настроенных хостов с помощью сканирующих платформ, таких как LeakIX и SecurityTrails. Примечательно, что эта черта становится все более распространенной среди групп угроз, поскольку они склонны использовать в своих вредоносных операциях законные продукты безопасности, такие как Cobalt Strike.

После того, как злоумышленники обнаружат уязвимые серверы, они могут использовать ряд сценариев из набора инструментов AlienFox для кражи конфиденциальной информации с облачных платформ, таких как Amazon Web Services и Microsoft Office 365. Стоит отметить, что хотя сценарии AlienFox могут быть использованы против целый ряд веб-сервисов, они в первую очередь ориентированы на облачные службы и службы хостинга электронной почты «программное обеспечение как услуга» (SaaS).

Многие из используемых неверных конфигураций связаны с популярными веб-фреймворками, такими как Laravel, Drupal, WordPress и OpenCart. Скрипты AlienFox используют методы грубой силы для IP-адресов и подсетей, а также веб-API, когда дело доходит до интеллектуальных платформ с открытым исходным кодом, таких как SecurityTrails и LeakIX, для проверки облачных сервисов и создания списка целей.

Как только уязвимый сервер идентифицирован, злоумышленники приступают к извлечению конфиденциальной информации. Киберпреступники используют скрипты, нацеленные на токены и другие секреты из более чем дюжины облачных сервисов, включая AWS и Office 365, а также Google Workspace, Nexmo, Twilio и OneSignal. Очевидно, что использование AlienFox злоумышленниками может представлять серьезную угрозу для организаций, которые полагаются на облачные сервисы в своей деятельности.

Вредоносное ПО AlienFox все еще находится в активной разработке

На данный момент выявлены три версии AlienFox, выпущенные в феврале 2022 года. Стоит отметить, что некоторые из найденных скриптов были отмечены другими исследователями как семейства вредоносных программ.

Каждый из проанализированных наборов инструментов, злоупотребляющих SES, нацелен на серверы, использующие платформу Laravel PHP. Этот факт может указывать на то, что Laravel особенно восприимчив к неправильным конфигурациям или воздействиям.

Интересно отметить, что AlienFox v4 организован иначе, чем другие. Например, каждому инструменту в этой версии присвоен числовой идентификатор, такой как Инструмент1 и Инструмент2. Некоторые из новых инструментов предполагают, что разработчики пытаются привлечь новых пользователей или расширить возможности существующих наборов инструментов. Например, один инструмент проверяет адреса электронной почты, связанные с розничными учетными записями Amazon. Если такие электронные письма не будут найдены, скрипт создаст новую учетную запись Amazon, используя адрес электронной почты. Еще один инструмент автоматизирует сиды криптовалютных кошельков специально для биткойнов и эфириума.

Эти результаты подчеркивают постоянно развивающуюся природу AlienFox и ее все возрастающую сложность. Для организаций крайне важно сохранять бдительность и принимать необходимые меры для защиты своих систем от таких угроз.