AlienFox

ตามที่นักวิจัยของ Infosec ระบุว่าชุดเครื่องมือใหม่ที่ชื่อว่า AlienFox กำลังเผยแพร่ผ่าน Telegram ซึ่งเป็นแอพส่งข้อความยอดนิยม ชุดเครื่องมือนี้ได้รับการออกแบบมาเพื่อช่วยให้ผู้คุกคามสามารถเก็บเกี่ยวข้อมูลรับรองจากคีย์ API และข้อมูลที่ละเอียดอ่อนอื่นๆ จากผู้ให้บริการระบบคลาวด์ต่างๆ

รายงานที่เผยแพร่โดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ SentinelOne เปิดเผยว่า AlienFox เป็นมัลแวร์แบบโมดูลาร์สูงที่พัฒนาอย่างต่อเนื่องด้วยคุณสมบัติใหม่และการปรับปรุงประสิทธิภาพ ผู้คุกคามใช้ AlienFox เพื่อระบุและรวบรวมข้อมูลประจำตัวของบริการจากบริการที่เปิดเผยหรือกำหนดค่าผิดพลาด หากเหยื่อตกเป็นเหยื่อของการโจมตีดังกล่าว อาจนำไปสู่ผลที่ตามมาหลายประการ เช่น ต้นทุนการบริการที่เพิ่มขึ้น การสูญเสียความไว้วางใจจากลูกค้า และค่าใช้จ่ายในการแก้ไข

นอกจากนี้ยังสามารถเปิดประตูสำหรับแคมเปญอาชญากรเพิ่มเติมเนื่องจาก AlienFox เวอร์ชันล่าสุดมีสคริปต์มากมายที่สามารถทำให้การดำเนินการที่เป็นอันตรายเป็นไปโดยอัตโนมัติโดยใช้ข้อมูลประจำตัวที่ถูกขโมย ตัวอย่างเช่น มีสคริปต์ที่อนุญาตให้สร้างการคงอยู่ ซึ่งหมายความว่าผู้โจมตีสามารถควบคุมระบบที่ถูกบุกรุกได้แม้หลังจากรีบูตหรืออัปเดต สคริปต์เดียวกันยังอำนวยความสะดวกในการเพิ่มระดับสิทธิ์ในบัญชี AWS ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงและควบคุมได้มากขึ้น

นอกจากนี้ หนึ่งในสคริปต์ที่รวมอยู่ใน AlienFox สามารถทำให้แคมเปญสแปมเป็นไปโดยอัตโนมัติผ่านบัญชีและบริการต่างๆ ของเหยื่อ ซึ่งก่อให้เกิดอันตรายอย่างมากต่อชื่อเสียงของเหยื่อและนำไปสู่การสูญเสียทางการเงินเพิ่มเติม โดยรวมแล้ว เห็นได้ชัดว่าการใช้ AlienFox โดยอาชญากรไซเบอร์อาจส่งผลร้ายแรงและยาวนานต่อผู้ที่ตกเป็นเหยื่อ

AlienFox ค้นหาโฮสต์ที่กำหนดค่าผิดพลาด

AlienFox เป็นเครื่องมือที่ผู้โจมตีใช้เพื่อรวบรวมรายชื่อโฮสต์ที่กำหนดค่าผิดพลาดผ่านแพลตฟอร์มการสแกนเช่น LeakIX และ SecurityTrails เป็นที่น่าสังเกตว่านี่เป็นลักษณะที่พบได้บ่อยมากขึ้นในกลุ่มภัยคุกคาม เนื่องจากพวกเขามักจะใช้ผลิตภัณฑ์รักษาความปลอดภัยที่ถูกกฎหมาย เช่น Cobalt Strike ในการดำเนินการที่เป็นอันตราย

เมื่อผู้โจมตีระบุเซิร์ฟเวอร์ที่มีช่องโหว่ได้แล้ว พวกเขาสามารถใช้สคริปต์ต่างๆ จากชุดเครื่องมือ AlienFox เพื่อขโมยข้อมูลที่ละเอียดอ่อนจากแพลตฟอร์มคลาวด์ เช่น Amazon Web Services และ Microsoft Office 365 เป็นที่น่าสังเกตว่าในขณะที่สคริปต์ AlienFox สามารถใช้ประโยชน์ได้ บริการเว็บต่างๆ มีเป้าหมายหลักที่บริการโฮสติ้งอีเมลบนคลาวด์และ Software-as-a-Service (SaaS)

การกำหนดค่าผิดจำนวนมากที่ถูกโจมตีนั้นเชื่อมโยงกับเฟรมเวิร์กของเว็บยอดนิยม เช่น Laravel, Drupal, WordPress และ OpenCart สคริปต์ AlienFox ใช้เทคนิคเดรัจฉานสำหรับ IP และซับเน็ต และเว็บ API เมื่อพูดถึงแพลตฟอร์มข่าวกรองแบบโอเพ่นซอร์ส เช่น SecurityTrails และ LeakIX เพื่อตรวจสอบบริการคลาวด์และสร้างรายการเป้าหมาย

เมื่อระบุเซิร์ฟเวอร์ที่มีช่องโหว่ได้แล้ว ผู้โจมตีจะเข้าไปดึงข้อมูลที่ละเอียดอ่อนออกมา อาชญากรไซเบอร์ใช้สคริปต์ที่กำหนดเป้าหมายเป็นโทเค็นและความลับอื่นๆ จากบริการคลาวด์กว่าโหล รวมถึง AWS และ Office 365 รวมถึง Google Workspace, Nexmo, Twilio และ OneSignal เห็นได้ชัดว่าการใช้ AlienFox โดยผู้โจมตีอาจเป็นภัยคุกคามที่สำคัญต่อองค์กรที่ต้องพึ่งพาบริการคลาวด์ในการดำเนินงาน

มัลแวร์ AlienFox ยังอยู่ระหว่างการพัฒนา

AlienFox สามเวอร์ชันที่ย้อนกลับไปในเดือนกุมภาพันธ์ 2022 ได้รับการระบุแล้ว เป็นสิ่งที่ควรค่าแก่การชี้ให้เห็นว่าสคริปต์บางส่วนที่พบนั้นถูกแท็กว่าเป็นตระกูลมัลแวร์โดยนักวิจัยคนอื่นๆ

ชุดเครื่องมือที่ละเมิด SES แต่ละชุดที่ได้รับการวิเคราะห์เซิร์ฟเวอร์เป้าหมายโดยใช้เฟรมเวิร์ก Laravel PHP ข้อเท็จจริงนี้อาจบ่งชี้ว่า Laravel มีความอ่อนไหวเป็นพิเศษต่อการกำหนดค่าหรือความเสี่ยงที่ผิดพลาด

เป็นที่น่าสนใจที่จะทราบว่า AlienFox v4 มีการจัดระเบียบที่แตกต่างจากที่อื่น ตัวอย่างเช่น แต่ละเครื่องมือในเวอร์ชันนี้ได้รับการกำหนดตัวบ่งชี้ที่เป็นตัวเลข เช่น Tool1 และ Tool2 เครื่องมือใหม่บางอย่างแนะนำว่านักพัฒนาพยายามดึงดูดผู้ใช้ใหม่หรือเพิ่มพูนสิ่งที่ชุดเครื่องมือที่มีอยู่สามารถทำได้ ตัวอย่างเช่น เครื่องมือหนึ่งตรวจสอบที่อยู่อีเมลที่เชื่อมโยงกับบัญชีค้าปลีกของ Amazon หากไม่พบอีเมลดังกล่าว สคริปต์จะสร้างบัญชี Amazon ใหม่โดยใช้ที่อยู่อีเมลนั้น เครื่องมืออื่น ๆ จะทำการเมล็ดกระเป๋าสตางค์ cryptocurrency โดยอัตโนมัติโดยเฉพาะสำหรับ Bitcoin และ Ethereum

การค้นพบนี้เน้นให้เห็นถึงธรรมชาติที่พัฒนาตลอดเวลาของ AlienFox และความซับซ้อนที่เพิ่มขึ้น องค์กรจำเป็นต้องเฝ้าระวังและใช้มาตรการที่จำเป็นเพื่อรักษาความปลอดภัยของระบบจากภัยคุกคามดังกล่าว