AlienFox

Podľa výskumníkov spoločnosti Infosec sa v súčasnosti distribuuje nová sada nástrojov s názvom AlienFox prostredníctvom populárnej aplikácie na odosielanie správ Telegram. Sada nástrojov je navrhnutá tak, aby umožnila aktérom hrozieb získavať poverenia z kľúčov API a iných citlivých údajov od rôznych poskytovateľov cloudových služieb.

Správa vydaná odborníkmi na kybernetickú bezpečnosť zo SentinelOne odhaľuje, že AlienFox je vysoko modulárny malvér, ktorý sa neustále vyvíja s novými funkciami a vylepšeniami výkonu. Aktéri hrozieb používajú AlienFox na identifikáciu a zhromažďovanie poverení služby z odhalených alebo nesprávne nakonfigurovaných služieb. Ak sa obeť stane obeťou takýchto útokov, môže to viesť k niekoľkým dôsledkom, ako sú zvýšené náklady na služby, strata dôvery zákazníkov a náklady na nápravu.

Okrem toho môže tiež otvoriť dvere pre ďalšie zločinecké kampane, pretože najnovšie verzie AlienFox obsahujú množstvo skriptov, ktoré dokážu automatizovať škodlivé operácie pomocou ukradnutých poverení. Napríklad existuje skript, ktorý umožňuje vytvorenie perzistencie, čo znamená, že útočník si môže udržať kontrolu nad napadnutým systémom aj po reštarte alebo aktualizácii. Rovnaký skript tiež uľahčuje eskaláciu privilégií v účtoch AWS, čím poskytuje útočníkovi väčší prístup a kontrolu.

Okrem toho jeden zo skriptov zahrnutých v AlienFox môže automatizovať spamové kampane prostredníctvom účtov a služieb obetí, čím spôsobuje značné poškodenie reputácie obete a vedie k ďalším finančným stratám. Celkovo je evidentné, že používanie AlienFoxu kyberzločincami môže mať pre obete vážne a dlhotrvajúce následky.

AlienFox nájde nesprávne nakonfigurovaných hostiteľov

AlienFox je nástroj, ktorý útočníci používajú na zhromažďovanie zoznamov nesprávne nakonfigurovaných hostiteľov prostredníctvom skenovacích platforiem ako LeakIX a SecurityTrails. Je pozoruhodné, že toto je čoraz bežnejšia vlastnosť medzi skupinami hrozieb, pretože majú tendenciu používať legitímne bezpečnostné produkty, ako je Cobalt Strike, vo svojich škodlivých operáciách.

Keď útočníci identifikujú zraniteľné servery, môžu použiť množstvo skriptov zo sady nástrojov AlienFox na ukradnutie citlivých informácií z cloudových platforiem, ako sú Amazon Web Services a Microsoft Office 365. Stojí za zmienku, že zatiaľ čo skripty AlienFox možno využiť rad webových služieb, sú primárne zamerané na cloudové a e-mailové hostingové služby Software-as-a-Service (SaaS).

Mnohé z nesprávnych konfigurácií, ktoré sa zneužívajú, sú spojené s populárnymi webovými rámcami, ako sú Laravel, Drupal, WordPress a OpenCart. Skripty AlienFox využívajú techniky hrubej sily pre adresy IP a podsiete a webové rozhrania API, pokiaľ ide o spravodajské platformy s otvoreným zdrojom, ako sú SecurityTrails a LeakIX, na kontrolu cloudových služieb a generovanie zoznamu cieľov.

Po identifikácii zraniteľného servera sa útočníci presunú, aby získali citlivé informácie. Kyberzločinci používajú skripty zamerané na tokeny a ďalšie tajomstvá z viac ako tuctu cloudových služieb vrátane AWS a Office 365, ako aj Google Workspace, Nexmo, Twilio a OneSignal. Je zrejmé, že používanie AlienFox útočníkmi môže predstavovať významnú hrozbu pre organizácie, ktoré sa pri svojich operáciách spoliehajú na cloudové služby.

Malvér AlienFox sa stále aktívne vyvíja

Doteraz boli identifikované tri verzie AlienFox, ktoré siahajú do februára 2022. Stojí za zmienku, že niektoré z nájdených skriptov boli inými výskumníkmi označené ako rodiny škodlivého softvéru.

Každá zo sád nástrojov zneužívajúcich SES, ktoré boli analyzované, sa zameriava na servery využívajúce framework Laravel PHP. Táto skutočnosť môže naznačovať, že Laravel je obzvlášť náchylný na nesprávne konfigurácie alebo expozície.

Je zaujímavé poznamenať, že AlienFox v4 je organizovaný odlišne od ostatných. Napríklad každému nástroju v tejto verzii je priradený číselný identifikátor, ako napríklad Nástroj1 a Nástroj2. Niektoré z nových nástrojov naznačujú, že vývojári sa snažia prilákať nových používateľov alebo rozšíriť to, čo dokážu existujúce sady nástrojov. Jeden nástroj napríklad kontroluje e-mailové adresy prepojené s maloobchodnými účtami Amazon. Ak sa nenájdu žiadne takéto e-maily, skript vytvorí nový účet Amazon pomocou e-mailovej adresy. Ďalší nástroj automatizuje semená kryptomenovej peňaženky špeciálne pre Bitcoin a Ethereum.

Tieto zistenia poukazujú na neustále sa vyvíjajúcu povahu AlienFox a jeho rastúcu sofistikovanosť. Je nevyhnutné, aby organizácie zostali ostražité a prijali potrebné opatrenia na zabezpečenie svojich systémov proti takýmto hrozbám.