AlienFox

Po mnenju raziskovalcev infosec se nov nabor orodij z imenom AlienFox trenutno distribuira prek Telegrama, priljubljene aplikacije za sporočanje. Nabor orodij je zasnovan tako, da akterjem groženj omogoča zbiranje poverilnic iz ključev API in drugih občutljivih podatkov različnih ponudnikov storitev v oblaku.

Poročilo, ki so ga objavili strokovnjaki za kibernetsko varnost pri SentinelOne, razkriva, da je AlienFox zelo modularna zlonamerna programska oprema, ki se nenehno razvija z novimi funkcijami in izboljšavami zmogljivosti. Akterji groženj uporabljajo AlienFox za prepoznavanje in zbiranje poverilnic storitev iz izpostavljenih ali napačno konfiguriranih storitev. Če žrtev postane žrtev takšnih napadov, lahko to povzroči več posledic, kot so povečani stroški storitev, izguba zaupanja strank in stroški sanacije.

Poleg tega lahko odpre vrata za nadaljnje kriminalne akcije, saj najnovejše različice AlienFox vključujejo vrsto skriptov, ki lahko avtomatizirajo zlonamerne operacije z uporabo ukradenih poverilnic. Obstaja na primer skript, ki omogoča vzpostavitev obstojnosti, kar pomeni, da lahko napadalec ohrani nadzor nad ogroženim sistemom tudi po ponovnem zagonu ali posodobitvi. Isti skript olajša tudi stopnjevanje privilegijev v računih AWS, s čimer napadalcu zagotovi večji dostop in nadzor.

Poleg tega lahko eden od skriptov, vključenih v AlienFox, avtomatizira kampanje z neželeno pošto prek računov in storitev žrtev, s čimer povzroči znatno škodo ugledu žrtve in povzroči dodatne finančne izgube. Na splošno je očitno, da ima lahko uporaba AlienFoxa s strani kibernetskih kriminalcev resne in dolgotrajne posledice za žrtve.

AlienFox najde napačno konfigurirane gostitelje

AlienFox je orodje, ki ga napadalci uporabljajo za zbiranje seznamov napačno konfiguriranih gostiteljev prek platform za skeniranje, kot sta LeakIX in SecurityTrails. Omeniti velja, da je to vse bolj pogosta lastnost med skupinami groženj, saj v svojih zlonamernih operacijah običajno uporabljajo zakonite varnostne izdelke, kot je Cobalt Strike.

Ko napadalci odkrijejo ranljive strežnike, lahko uporabijo vrsto skriptov iz kompleta orodij AlienFox za krajo občutljivih informacij iz platform v oblaku, kot sta Amazon Web Services in Microsoft Office 365. Treba je omeniti, da je mogoče skripte AlienFox uporabiti proti nabor spletnih storitev, usmerjene so predvsem v storitve gostovanja e-pošte v oblaku in storitve programske opreme kot storitve (SaaS).

Veliko napačnih konfiguracij, ki se izkoriščajo, je povezanih s priljubljenimi spletnimi okviri, kot so Laravel, Drupal, WordPress in OpenCart. Skripti AlienFox uporabljajo tehnike brutalne sile za IP-je in podomrežja ter spletne API-je, ko gre za odprtokodne obveščevalne platforme, kot sta SecurityTrails in LeakIX, za preverjanje storitev v oblaku in ustvarjanje seznama ciljev.

Ko je identificiran ranljiv strežnik, se napadalci lotijo pridobivanja občutljivih informacij. Kibernetski kriminalci uporabljajo skripte, ki ciljajo na žetone in druge skrivnosti iz več kot ducata storitev v oblaku, vključno z AWS in Office 365 ter Google Workspace, Nexmo, Twilio in OneSignal. Očitno je, da lahko uporaba AlienFoxa s strani napadalcev predstavlja veliko grožnjo organizacijam, ki se za svoje delovanje zanašajo na storitve v oblaku.

Zlonamerna programska oprema AlienFox je še vedno v aktivnem razvoju

Doslej so identificirali tri različice AlienFoxa, ki segajo v februar 2022. Treba je poudariti, da so nekatere od najdenih skriptov drugi raziskovalci označili kot družine zlonamerne programske opreme.

Vsak od analiziranih kompletov orodij, ki zlorabljajo SES, cilja na strežnike, ki uporabljajo ogrodje Laravel PHP. To dejstvo lahko nakazuje, da je Laravel še posebej dovzeten za napačne konfiguracije ali izpostavljenosti.

Zanimivo je, da je AlienFox v4 organiziran drugače kot ostali. Na primer, vsakemu orodju v tej različici je dodeljen številčni identifikator, kot sta Orodje1 in Orodje2. Nekatera nova orodja kažejo, da razvijalci poskušajo pritegniti nove uporabnike ali povečati zmogljivosti obstoječih orodij. Na primer, eno orodje preverja e-poštne naslove, povezane z maloprodajnimi računi Amazon. Če takih e-poštnih sporočil ne najde, bo skript ustvaril nov račun Amazon z uporabo e-poštnega naslova. Drugo orodje avtomatizira semena denarnice za kriptovalute posebej za Bitcoin in Ethereum.

Te ugotovitve poudarjajo nenehno razvijajočo se naravo AlienFoxa in njegovo vse večjo prefinjenost. Za organizacije je nujno, da ostanejo pazljive in sprejmejo potrebne ukrepe za zaščito svojih sistemov pred takšnimi grožnjami.