AlienFox
Ayon sa mga mananaliksik ng infosec, isang bagong toolset na pinangalanang AlienFox ang kasalukuyang ipinamamahagi sa pamamagitan ng Telegram, isang sikat na messaging app. Ang toolset ay idinisenyo upang paganahin ang mga aktor ng pagbabanta na kumuha ng mga kredensyal mula sa mga key ng API at iba pang sensitibong data mula sa iba't ibang mga provider ng serbisyo sa cloud.
Ang ulat na inilabas ng mga eksperto sa cybersecurity sa SentinelOne, ay nagpapakita na ang AlienFox ay isang mataas na modular na malware na patuloy na umuunlad na may mga bagong feature at pagpapahusay sa pagganap. Ginagamit ng mga banta ng aktor ang AlienFox para sa pagtukoy at pagkolekta ng mga kredensyal ng serbisyo mula sa mga nakalantad o na-misconfigure na serbisyo. Kung ang isang biktima ay mabiktima ng mga naturang pag-atake, maaari itong humantong sa ilang mga kahihinatnan, tulad ng pagtaas ng mga gastos sa serbisyo, pagkawala ng tiwala ng customer, at mga gastos sa remediation.
Bilang karagdagan, maaari rin itong magbukas ng mga pinto para sa karagdagang mga kampanyang kriminal dahil ang mga pinakabagong bersyon ng AlienFox ay may kasamang hanay ng mga script na maaaring mag-automate ng mga nakakahamak na operasyon gamit ang mga ninakaw na kredensyal. Halimbawa, mayroong isang script na nagbibigay-daan para sa pagtatatag ng pagpupursige, na nangangahulugan na ang umaatake ay maaaring mapanatili ang kontrol ng nakompromisong system kahit na pagkatapos ng pag-reboot o pag-update. Pinapadali din ng parehong script ang pagtaas ng pribilehiyo sa mga AWS account, sa gayon ay nagbibigay sa umaatake ng higit na access at kontrol.
Higit pa rito, ang isa sa mga script na kasama sa AlienFox ay maaaring mag-automate ng mga kampanyang spam sa pamamagitan ng mga account at serbisyo ng biktima, sa gayon ay magdulot ng malaking pinsala sa reputasyon ng biktima at humahantong sa karagdagang pagkalugi sa pananalapi. Sa pangkalahatan, maliwanag na ang paggamit ng AlienFox ng mga cybercriminal ay maaaring magkaroon ng malala at pangmatagalang kahihinatnan para sa mga biktima.
Nahanap ng AlienFox ang Mga Maling Na-configure na Host
Ang AlienFox ay isang tool na ginagamit ng mga umaatake upang mangolekta ng mga listahan ng mga hindi na-configure na host sa pamamagitan ng mga platform sa pag-scan tulad ng LeakIX at SecurityTrails. Kapansin-pansin na ito ay nagiging karaniwang katangian sa mga grupo ng pagbabanta dahil madalas nilang gamitin ang mga lehitimong produkto ng seguridad, gaya ng Cobalt Strike, sa kanilang mga malisyosong operasyon.
Kapag natukoy na ng mga umaatake ang mga mahihinang server, maaari silang gumamit ng hanay ng mga script mula sa AlienFox toolkit upang magnakaw ng sensitibong impormasyon mula sa mga cloud platform gaya ng Amazon Web Services at Microsoft Office 365. Dapat tandaan na habang ang mga AlienFox script ay maaaring gamitin laban sa isang hanay ng mga serbisyo sa web, ang mga ito ay pangunahing naka-target sa cloud-based at Software-as-a-Service (SaaS) email hosting services.
Marami sa mga maling pagsasaayos na pinagsamantalahan ay nauugnay sa mga sikat na web framework gaya ng Laravel, Drupal, WordPress, at OpenCart. Gumagamit ang mga script ng AlienFox ng mga brute-force na diskarte para sa mga IP at subnet, at mga web API pagdating sa mga open-source na platform ng intelligence tulad ng SecurityTrails at LeakIX upang suriin ang mga serbisyo sa cloud at bumuo ng listahan ng mga target.
Kapag natukoy na ang isang mahinang server, lilipat ang mga umaatake upang kunin ang sensitibong impormasyon. Gumagamit ang mga cybercriminal ng mga script na nagta-target ng mga token at iba pang mga lihim mula sa mahigit isang dosenang mga serbisyo sa cloud, kabilang ang AWS at Office 365, pati na rin ang Google Workspace, Nexmo, Twilio, at OneSignal. Maliwanag na ang paggamit ng AlienFox ng mga umaatake ay maaaring magdulot ng malaking banta sa mga organisasyong umaasa sa mga serbisyo ng cloud para sa kanilang mga operasyon.
Ang AlienFox Malware ay Nasa Aktibong Pag-unlad pa rin
Tatlong bersyon ng AlienFox mula Pebrero 2022 ang natukoy sa ngayon. Ito ay nagkakahalaga na ituro na ang ilan sa mga script na natagpuan ay na-tag bilang mga pamilya ng malware ng ibang mga mananaliksik.
Ang bawat isa sa SES-abusing toolset na sinuri ay nagta-target ng mga server gamit ang Laravel PHP framework. Ang katotohanang ito ay maaaring magmungkahi na ang Laravel ay partikular na madaling kapitan ng mga maling pagsasaayos o pagkakalantad.
Ito ay kagiliw-giliw na tandaan na ang AlienFox v4 ay nakaayos nang iba sa iba. Halimbawa, ang bawat tool sa bersyong ito ay itinalaga ng isang numerical identifier, gaya ng Tool1 at Tool2. Iminumungkahi ng ilan sa mga bagong tool na sinusubukan ng mga developer na akitin ang mga bagong user o dagdagan kung ano ang magagawa ng mga kasalukuyang toolkit. Halimbawa, sinusuri ng isang tool ang mga email address na naka-link sa mga retail account sa Amazon. Kung walang nakitang ganoong mga email, lilikha ang script ng bagong Amazon account gamit ang email address. Ang isa pang tool ay nag-automate ng mga binhi ng wallet ng cryptocurrency partikular para sa Bitcoin at Ethereum.
Itinatampok ng mga natuklasang ito ang patuloy na nagbabagong katangian ng AlienFox at ang pagtaas ng pagiging sopistikado nito. Kinakailangan para sa mga organisasyon na manatiling mapagbantay at gumawa ng mga kinakailangang hakbang upang ma-secure ang kanilang mga sistema laban sa mga naturang banta.
