Попусти за више лиценци
Threat Database Malware AlienFox

AlienFox

До Mezo. у Malware
Преведи на:
Српски

Према истраживачима Инфосец-а, нови скуп алата под називом АлиенФок тренутно се дистрибуира преко Телеграма, популарне апликације за размену порука. Скуп алата је дизајниран да омогући актерима претњи да прикупе акредитиве из АПИ кључева и других осетљивих података од различитих добављача услуга у облаку.

Извештај који су објавили стручњаци за сајбер безбедност у СентинелОне, открива да је АлиенФок веома модуларан малвер који се континуирано развија са новим функцијама и побољшањима перформанси. Актери претњи користе АлиенФок за идентификацију и прикупљање акредитива за услуге од изложених или погрешно конфигурисаних услуга. Ако жртва постане жртва таквих напада, то може довести до неколико последица, као што су повећани трошкови услуга, губитак поверења корисника и трошкови санације.

Поред тога, такође може отворити врата за даље криминалне кампање јер најновије верзије АлиенФок-а укључују низ скрипти које могу да аутоматизују злонамерне операције користећи украдене акредитиве. На пример, постоји скрипта која омогућава успостављање постојаности, што значи да нападач може задржати контролу над компромитованим системом чак и након поновног покретања или ажурирања. Иста скрипта такође олакшава ескалацију привилегија на АВС налозима, пружајући тако нападачу већи приступ и контролу.

Штавише, једна од скрипти укључених у АлиенФок може да аутоматизује спам кампање преко налога и услуга жртве, наносећи на тај начин значајну штету репутацији жртве и доводећи до додатних финансијских губитака. Све у свему, очигледно је да коришћење АлиенФок-а од стране сајбер-криминалаца може имати тешке и дуготрајне последице по жртве.

АлиенФок лоцира погрешно конфигурисане хостове

АлиенФок је алатка коју нападачи користе за прикупљање листа погрешно конфигурисаних хостова преко платформи за скенирање као што су ЛеакИКС и СецуритиТраилс. Важно је напоменути да је ово све чешћа особина међу групама претњи јер имају тенденцију да користе легитимне безбедносне производе, као што је Цобалт Стрике, у својим злонамерним операцијама.

Када нападачи идентификују рањиве сервере, могу да користе низ скрипти из АлиенФок алата да украду осетљиве информације са платформи у облаку као што су Амазон Веб Сервицес и Мицрософт Оффице 365. Вреди напоменути да иако се АлиенФок скрипте могу искористити против низ веб услуга, они су првенствено усмерени на услуге хостинга е-поште засноване на облаку и услуге софтвера као услуге (СааС).

Многе погрешне конфигурације које се користе повезане су са популарним веб оквирима као што су Ларавел, Друпал, ВордПресс и ОпенЦарт. АлиенФок скрипте користе бруте-форце технике за ИП адресе и подмреже и веб АПИ-је када су у питању обавештајне платформе отвореног кода као што су СецуритиТраилс и ЛеакИКС за проверу услуга у облаку и генерисање листе циљева.

Када се открије рањиви сервер, нападачи се крећу да извуку осетљиве информације. Сајбер-криминалци користе скрипте које циљају на токене и друге тајне из више од десет услуга у облаку, укључујући АВС и Оффице 365, као и Гоогле Воркспаце, Некмо, Твилио и ОнеСигнал. Очигледно је да употреба АлиенФок-а од стране нападача може представљати значајну претњу организацијама које се ослањају на услуге у облаку за своје операције.

АлиенФок злонамерни софтвер је још увек у активном развоју

До сада су идентификоване три верзије АлиенФок-а од фебруара 2022. Вреди истаћи да су неке од пронађених скрипти други истраживачи означили као породице злонамерног софтвера.

Сваки од анализираних скупова алата који злоупотребљавају СЕС циља на сервере користећи Ларавел ПХП оквир. Ова чињеница може сугерисати да је Ларавел посебно подложан погрешним конфигурацијама или изложености.

Занимљиво је напоменути да је АлиенФок в4 организован другачије од осталих. На пример, сваком алату у овој верзији је додељен нумерички идентификатор, као што су Тоол1 и Тоол2. Неки од нових алата сугеришу да програмери покушавају да привуку нове кориснике или да прошире оно што постојећи комплети алата могу да ураде. На пример, један алат проверава да ли постоје адресе е-поште повезане са Амазон малопродајним налозима. Ако се таква е-порука не пронађе, скрипта ће креирати нови Амазон налог користећи адресу е-поште. Још један алат аутоматизује семе новчаника за криптовалуте посебно за Битцоин и Етхереум.

Ови налази истичу природу АлиенФок-а који се стално развија и његову све већу софистицираност. За организације је императив да остану будне и предузму неопходне мере да обезбеде своје системе од таквих претњи.

У тренду

Најгледанији

Превара е-поште 'Геек Скуад'

Phishing, Spam
15,882
Геек Скуад, популарни провајдер техничке подршке, постао је жртва пхисхинг преваре под називом Геек Скуад Емаил превара. Ова превара са техничком подршком користи лажне е-поруке које преваре људе да дају своје личне податке, као што су подаци о кредитној картици, адресе е-поште, па чак и бројеви социјалног осигурања. У овом чланку ћемо разговарати о самој превари, како она изгледа, одакле...
Учитавање...