AlienFox
Sipas studiuesve të infosec, një grup i ri mjetesh i quajtur AlienFox aktualisht po shpërndahet përmes Telegram, një aplikacion i njohur i mesazheve. Grupi i mjeteve është krijuar për të mundësuar aktorët e kërcënimit të mbledhin kredencialet nga çelësat API dhe të dhëna të tjera të ndjeshme nga ofrues të ndryshëm të shërbimeve cloud.
Raporti i lëshuar nga ekspertët e sigurisë kibernetike në SentinelOne, zbulon se AlienFox është një malware shumë modular që po evoluon vazhdimisht me veçori të reja dhe përmirësime të performancës. Aktorët e kërcënimit përdorin AlienFox për identifikimin dhe mbledhjen e kredencialeve të shërbimit nga shërbimet e ekspozuara ose të konfiguruara gabimisht. Nëse një viktimë bie pre e sulmeve të tilla, kjo mund të çojë në disa pasoja, të tilla si rritja e kostove të shërbimit, humbja e besimit të klientit dhe kostot e riparimit.
Përveç kësaj, ai gjithashtu mund të hapë dyert për fushata të mëtejshme kriminale pasi versionet më të fundit të AlienFox përfshijnë një sërë skriptesh që mund të automatizojnë operacionet me qëllim të keq duke përdorur kredencialet e vjedhura. Për shembull, ekziston një skenar që lejon vendosjen e qëndrueshmërisë, që do të thotë se sulmuesi mund të mbajë kontrollin e sistemit të komprometuar edhe pas një rindezjeje ose përditësimi. I njëjti skenar gjithashtu lehtëson përshkallëzimin e privilegjeve në llogaritë AWS, duke i siguruar kështu sulmuesit akses dhe kontroll më të madh.
Për më tepër, një nga skriptet e përfshira në AlienFox mund të automatizojë fushatat e padëshiruara përmes llogarive dhe shërbimeve të viktimave, duke shkaktuar kështu dëm të konsiderueshëm në reputacionin e viktimës dhe duke çuar në humbje financiare shtesë. Në përgjithësi, është e qartë se përdorimi i AlienFox nga kriminelët kibernetikë mund të ketë pasoja të rënda dhe afatgjata për viktimat.
AlienFox lokalizon hostet e konfiguruar gabim
AlienFox është një mjet që sulmuesit përdorin për të mbledhur listat e hosteve të konfiguruar gabimisht përmes platformave të skanimit si LeakIX dhe SecurityTrails. Vlen të përmendet se ky është një tipar gjithnjë e më i zakonshëm në mesin e grupeve të kërcënimit pasi ata priren të përdorin produkte legjitime të sigurisë, si Cobalt Strike, në operacionet e tyre keqdashëse.
Pasi sulmuesit të kenë identifikuar serverët e cenueshëm, ata mund të përdorin një sërë skriptesh nga paketa e veglave AlienFox për të vjedhur informacione të ndjeshme nga platformat cloud si Amazon Web Services dhe Microsoft Office 365. Vlen të përmendet se ndërsa skriptet AlienFox mund të përdoren kundër një sërë shërbimesh në internet, ato synohen kryesisht në shërbimet e pritjes së emailit të bazuara në cloud dhe Software-as-a-Service (SaaS).
Shumë nga konfigurimet e gabuara që shfrytëzohen janë të lidhura me kornizat e njohura të uebit si Laravel, Drupal, WordPress dhe OpenCart. Skriptet AlienFox përdorin teknika të forcës brutale për IP-të dhe nënrrjetet, dhe API-të e uebit kur bëhet fjalë për platformat e inteligjencës me burim të hapur si SecurityTrails dhe LeakIX për të kontrolluar për shërbimet cloud dhe për të gjeneruar një listë objektivash.
Pasi të identifikohet një server i cenueshëm, sulmuesit lëvizin për të nxjerrë informacione të ndjeshme. Kriminelët kibernetikë përdorin skriptet që synojnë argumentet dhe sekretet e tjera nga mbi një duzinë shërbimesh cloud, duke përfshirë AWS dhe Office 365, si dhe Google Workspace, Nexmo, Twilio dhe OneSignal. Është e qartë se përdorimi i AlienFox nga sulmuesit mund të përbëjë një kërcënim të rëndësishëm për organizatat që mbështeten në shërbimet cloud për operacionet e tyre.
Malware AlienFox është ende në zhvillim aktiv
Deri më tani janë identifikuar tre versione të AlienFox që kthehen në shkurt 2022. Vlen të theksohet se disa nga skriptet e gjetura janë etiketuar si familje malware nga studiues të tjerë.
Secili prej grupeve të veglave që abuzojnë me SES-in që u analizuan synon serverët duke përdorur kornizën Laravel PHP. Ky fakt mund të sugjerojë që Laravel është veçanërisht i ndjeshëm ndaj konfigurimeve të gabuara ose ekspozimeve.
Është interesante të theksohet se AlienFox v4 është organizuar ndryshe nga të tjerët. Për shembull, çdo mjeti në këtë version i caktohet një identifikues numerik, si Tool1 dhe Tool2. Disa nga mjetet e reja sugjerojnë që zhvilluesit po përpiqen të tërheqin përdorues të rinj ose të shtojnë atë që mund të bëjnë mjetet ekzistuese. Për shembull, një mjet kontrollon për adresat e emailit të lidhura me llogaritë e shitjes me pakicë të Amazon. Nëse nuk gjendet asnjë email i tillë, skripti do të krijojë një llogari të re në Amazon duke përdorur adresën e emailit. Një tjetër mjet automatizon farat e portofolit të kriptomonedhave posaçërisht për Bitcoin dhe Ethereum.
Këto gjetje nxjerrin në pah natyrën gjithnjë në zhvillim të AlienFox dhe sofistikimin e tij në rritje. Është e domosdoshme që organizatat të qëndrojnë vigjilente dhe të marrin masat e nevojshme për të siguruar sistemet e tyre kundër kërcënimeve të tilla.
