AlienFox

Infosec araştırmacılarına göre, AlienFox adlı yeni bir araç seti şu anda popüler bir mesajlaşma uygulaması olan Telegram aracılığıyla dağıtılıyor. Araç seti, tehdit aktörlerinin API anahtarlarından kimlik bilgilerini ve çeşitli bulut hizmeti sağlayıcılarından diğer hassas verileri toplamasını sağlamak için tasarlanmıştır.

SentinelOne'daki siber güvenlik uzmanları tarafından yayınlanan rapor, AlienFox'un yeni özellikler ve performans iyileştirmeleriyle sürekli gelişen, oldukça modüler bir kötü amaçlı yazılım olduğunu ortaya koyuyor. Tehdit aktörleri, açığa çıkan veya yanlış yapılandırılmış hizmetlerden hizmet kimlik bilgilerini belirlemek ve toplamak için AlienFox'u kullanır. Bir kurban bu tür saldırıların kurbanı olursa, hizmet maliyetlerinin artması, müşteri güveninin kaybedilmesi ve düzeltme maliyetleri gibi çeşitli sonuçlara yol açabilir.

Buna ek olarak, AlienFox'un en son sürümleri, çalınan kimlik bilgilerini kullanarak kötü niyetli işlemleri otomatikleştirebilen bir dizi komut dosyası içerdiğinden, daha fazla suç kampanyası için kapıları açabilir. Örneğin, kalıcılığın oluşturulmasına izin veren bir komut dosyası vardır; bu, saldırganın, yeniden başlatma veya güncellemeden sonra bile güvenliği ihlal edilmiş sistemin kontrolünü elinde tutabileceği anlamına gelir. Aynı komut dosyası, AWS hesaplarında ayrıcalık yükseltmeyi de kolaylaştırarak saldırgana daha fazla erişim ve kontrol sağlar.

Ayrıca, AlienFox'ta yer alan komut dizilerinden biri, mağdur hesapları ve hizmetleri aracılığıyla spam kampanyalarını otomatikleştirerek kurbanın itibarına önemli ölçüde zarar verebilir ve ek mali kayıplara yol açabilir. Genel olarak, AlienFox'un siber suçlular tarafından kullanılmasının kurbanlar için ciddi ve uzun süreli sonuçları olabileceği açıktır.

AlienFox Hatalı Yapılandırılmış Ana Bilgisayarları Buluyor

AlienFox, saldırganların LeakIX ve SecurityTrails gibi tarama platformları aracılığıyla yanlış yapılandırılmış ana bilgisayarların listelerini toplamak için kullandıkları bir araçtır. Kötü amaçlı operasyonlarında Cobalt Strike gibi meşru güvenlik ürünlerini kullanma eğiliminde olduklarından, bunun tehdit grupları arasında giderek yaygınlaşan bir özellik olması dikkat çekicidir.

Saldırganlar güvenlik açığı bulunan sunucuları belirledikten sonra, Amazon Web Services ve Microsoft Office 365 gibi bulut platformlarından hassas bilgileri çalmak için AlienFox araç setindeki çeşitli komut dosyalarını kullanabilirler. Bir dizi web hizmeti, öncelikle bulut tabanlı ve Hizmet Olarak Yazılım (SaaS) e-posta barındırma hizmetlerini hedefler.

İstismar edilen yanlış yapılandırmaların çoğu, Laravel, Drupal, WordPress ve OpenCart gibi popüler web çerçeveleriyle ilişkilidir. AlienFox betikleri, bulut hizmetlerini kontrol etmek ve bir hedef listesi oluşturmak için SecurityTrails ve LeakIX gibi açık kaynaklı istihbarat platformları söz konusu olduğunda, IP'ler ve alt ağlar için kaba kuvvet tekniklerini ve web API'lerini kullanır.

Güvenlik açığı bulunan bir sunucu belirlendiğinde, saldırganlar hassas bilgileri ayıklamak için harekete geçer. Siber suçlular, AWS ve Office 365'in yanı sıra Google Workspace, Nexmo, Twilio ve OneSignal dahil olmak üzere bir düzineden fazla bulut hizmetinden belirteçleri ve diğer sırları hedefleyen komut dosyaları kullanır. AlienFox'un saldırganlar tarafından kullanılmasının, operasyonları için bulut hizmetlerine güvenen kuruluşlar için önemli bir tehdit oluşturabileceği açıktır.

AlienFox Kötü Amaçlı Yazılımı Hala Aktif Geliştirme Aşamasında

AlienFox'un şu ana kadar Şubat 2022'ye kadar uzanan üç sürümü belirlendi. Bulunan bazı komut dosyalarının diğer araştırmacılar tarafından kötü amaçlı yazılım aileleri olarak etiketlendiğini belirtmekte fayda var.

Analiz edilen SES'i kötüye kullanan araç setlerinin her biri, Laravel PHP çerçevesini kullanan sunucuları hedefliyor. Bu gerçek, Laravel'in yanlış yapılandırmalara veya ifşalara karşı özellikle duyarlı olduğunu düşündürebilir.

AlienFox v4'ün diğerlerinden farklı düzenlendiğini not etmek ilginçtir. Örneğin, bu sürümdeki her araca, Araç1 ve Araç2 gibi sayısal bir tanımlayıcı atanır. Yeni araçlardan bazıları, geliştiricilerin yeni kullanıcıları çekmeye veya mevcut araç setlerinin yapabileceklerini artırmaya çalıştıklarını gösteriyor. Örneğin, bir araç Amazon perakende hesaplarına bağlı e-posta adreslerini kontrol eder. Böyle bir e-posta bulunamazsa komut dosyası, e-posta adresini kullanarak yeni bir Amazon hesabı oluşturur. Başka bir araç, özellikle Bitcoin ve Ethereum için kripto para cüzdan tohumlarını otomatikleştirir.

Bu bulgular, AlienFox'un sürekli gelişen doğasını ve artan karmaşıklığını vurgulamaktadır. Kuruluşların bu tür tehditlere karşı uyanık olmaları ve sistemlerini güvence altına almak için gerekli önlemleri almaları zorunludur.