AlienFox

Enligt infosec-forskare distribueras en ny verktygsuppsättning vid namn AlienFox för närvarande via Telegram, en populär meddelandeapp. Verktygsuppsättningen är utformad för att göra det möjligt för hotaktörer att hämta inloggningsuppgifter från API-nycklar och annan känslig data från olika molntjänstleverantörer.

Rapporten som släpptes av cybersäkerhetsexperterna på SentinelOne avslöjar att AlienFox är en mycket modulär skadlig programvara som ständigt utvecklas med nya funktioner och prestandaförbättringar. Hotaktörer använder AlienFox för att identifiera och samla in tjänsteuppgifter från exponerade eller felkonfigurerade tjänster. Om ett offer faller offer för sådana attacker kan det leda till flera konsekvenser, såsom ökade servicekostnader, förlorat kundförtroende och åtgärdskostnader.

Dessutom kan det också öppna dörrarna för ytterligare kriminella kampanjer eftersom de senaste versionerna av AlienFox inkluderar en rad skript som kan automatisera skadliga operationer med hjälp av de stulna referenserna. Till exempel finns det ett skript som möjliggör etablering av persistens, vilket innebär att angriparen kan behålla kontrollen över det komprometterade systemet även efter en omstart eller uppdatering. Samma skript underlättar också privilegieskalering i AWS-konton, vilket ger angriparen större åtkomst och kontroll.

Dessutom kan ett av skripten som ingår i AlienFox automatisera skräppostkampanjer genom offerkonton och tjänster, och därigenom orsaka betydande skada på offrets rykte och leda till ytterligare ekonomiska förluster. Sammantaget är det uppenbart att användningen av AlienFox av cyberbrottslingar kan få allvarliga och långvariga konsekvenser för offren.

AlienFox lokaliserar felkonfigurerade värdar

AlienFox är ett verktyg som angripare använder för att samla in listor över felkonfigurerade värdar via skanningsplattformar som LeakIX och SecurityTrails. Det är anmärkningsvärt att detta är ett allt vanligare drag bland hotgrupper eftersom de tenderar att använda legitima säkerhetsprodukter, som Cobalt Strike, i sina skadliga operationer.

När angriparna väl har identifierat de sårbara servrarna kan de använda en rad skript från AlienFox verktygslåda för att stjäla känslig information från molnplattformar som Amazon Web Services och Microsoft Office 365. Det är värt att notera att medan AlienFox-skripten kan utnyttjas mot en rad webbtjänster, de är främst inriktade på molnbaserade och Software-as-a-Service (SaaS) e-postvärdtjänster.

Många av de felkonfigurationer som utnyttjas är associerade med populära webbramverk som Laravel, Drupal, WordPress och OpenCart. AlienFox-skripten använder brute-force-tekniker för IP:er och subnät, och webb-API:er när det kommer till intelligensplattformar med öppen källkod som SecurityTrails och LeakIX för att söka efter molntjänster och generera en lista med mål.

När en sårbar server har identifierats flyttar angriparna in för att extrahera känslig information. De cyberbrottslingar använder skript som är inriktade på tokens och andra hemligheter från över ett dussin molntjänster, inklusive AWS och Office 365, samt Google Workspace, Nexmo, Twilio och OneSignal. Det är uppenbart att angripares användning av AlienFox kan utgöra ett betydande hot mot organisationer som förlitar sig på molntjänster för sin verksamhet.

AlienFox Malware är fortfarande under aktiv utveckling

Tre versioner av AlienFox som går tillbaka till februari 2022 har hittills identifierats. Det är värt att påpeka att några av de skript som hittats har taggats som skadlig programvara av andra forskare.

Var och en av de SES-missbrukande verktygsuppsättningarna som analyserades riktar sig mot servrar med hjälp av Laravel PHP-ramverket. Detta faktum kan tyda på att Laravel är särskilt känsligt för felkonfigurationer eller exponeringar.

Det är intressant att notera att AlienFox v4 är organiserad annorlunda än de andra. Till exempel tilldelas varje verktyg i den här versionen en numerisk identifierare, som Tool1 och Tool2. Några av de nya verktygen tyder på att utvecklarna försöker attrahera nya användare eller utöka vad befintliga verktygssatser kan göra. Ett verktyg letar till exempel efter e-postadresser kopplade till Amazon-återförsäljarkonton. Om inga sådana e-postmeddelanden hittas kommer skriptet att skapa ett nytt Amazon-konto med e-postadressen. Ett annat verktyg automatiserar cryptocurrency plånboksfrön specifikt för Bitcoin och Ethereum.

Dessa fynd belyser den ständigt utvecklande karaktären hos AlienFox och dess ökande sofistikering. Det är absolut nödvändigt för organisationer att vara vaksamma och vidta nödvändiga åtgärder för att säkra sina system mot sådana hot.