AlienFox

За словами дослідників Infosec, новий набір інструментів під назвою AlienFox зараз поширюється через Telegram, популярну програму обміну повідомленнями. Набір інструментів розроблено для того, щоб дозволити суб’єктам загрози збирати облікові дані з ключів API та інших конфіденційних даних від різних постачальників хмарних послуг.

У звіті, опублікованому експертами з кібербезпеки SentinelOne, виявляється, що AlienFox — це високомодульна шкідлива програма, яка постійно розвивається за допомогою нових функцій і покращень продуктивності. Зловмисники використовують AlienFox для ідентифікації та збору облікових даних від відкритих або неправильно налаштованих служб. Якщо жертва стає жертвою таких атак, це може призвести до кількох наслідків, таких як підвищення вартості обслуговування, втрати довіри клієнтів і витрат на відновлення.

Крім того, це також може відкрити двері для подальших злочинних кампаній, оскільки останні версії AlienFox включають низку сценаріїв, які можуть автоматизувати зловмисні операції за допомогою вкрадених облікових даних. Наприклад, існує сценарій, який дозволяє встановити стійкість, що означає, що зловмисник може зберегти контроль над скомпрометованою системою навіть після перезавантаження або оновлення. Той самий сценарій також сприяє підвищенню привілеїв в облікових записах AWS, тим самим надаючи зловмиснику більший доступ і контроль.

Крім того, один із сценаріїв, включених до AlienFox, може автоматизувати спам-кампанії через облікові записи та служби жертв, завдаючи значної шкоди репутації жертви та призводячи до додаткових фінансових втрат. Загалом очевидно, що використання AlienFox кіберзлочинцями може мати серйозні та довгострокові наслідки для жертв.

AlienFox знаходить неправильно налаштовані хости

AlienFox — це інструмент, який зловмисники використовують для збору списків неправильно налаштованих хостів за допомогою таких платформ сканування, як LeakIX і SecurityTrails. Варто зазначити, що це все більш поширена риса серед груп загроз, оскільки вони, як правило, використовують законні продукти безпеки, такі як Cobalt Strike, у своїх зловмисних операціях.

Після того, як зловмисники визначили вразливі сервери, вони можуть використовувати низку сценаріїв із набору інструментів AlienFox, щоб викрасти конфіденційну інформацію з хмарних платформ, таких як Amazon Web Services і Microsoft Office 365. Варто зазначити, що хоча сценарії AlienFox можна використовувати проти цілий ряд веб-сервісів, вони в основному націлені на хмарні послуги та послуги хостингу електронної пошти програмного забезпечення як послуги (SaaS).

Багато неправильних конфігурацій, які використовуються, пов’язані з такими популярними веб-фреймворками, як Laravel, Drupal, WordPress і OpenCart. Сценарії AlienFox використовують методи грубої сили для IP-адрес і підмереж, а також веб-інтерфейси API, коли йдеться про інтелектуальні платформи з відкритим кодом, такі як SecurityTrails і LeakIX, для перевірки хмарних служб і створення списку цілей.

Після виявлення вразливого сервера зловмисники переходять на нього, щоб отримати конфіденційну інформацію. Кіберзлочинці використовують скрипти, націлені на токени та інші секрети з понад десятка хмарних сервісів, включаючи AWS і Office 365, а також Google Workspace, Nexmo, Twilio і OneSignal. Очевидно, що використання AlienFox зловмисниками може становити серйозну загрозу для організацій, які покладаються на хмарні сервіси для своїх операцій.

Шкідливе програмне забезпечення AlienFox все ще знаходиться в стадії активної розробки

Наразі виявлено три версії AlienFox, починаючи з лютого 2022 року. Варто зазначити, що деякі зі знайдених скриптів інші дослідники позначили як сімейства шкідливих програм.

Кожен із проаналізованих наборів інструментів, що зловживають SES, націлений на сервери, що використовують фреймворк Laravel PHP. Цей факт може свідчити про те, що Laravel особливо сприйнятливий до неправильних налаштувань або викриття.

Цікаво відзначити, що AlienFox v4 організований інакше, ніж інші. Наприклад, кожному інструменту в цій версії присвоєно числовий ідентифікатор, наприклад Інструмент1 та Інструмент2. Деякі з нових інструментів свідчать про те, що розробники намагаються залучити нових користувачів або розширити можливості існуючих інструментів. Наприклад, один інструмент перевіряє адреси електронної пошти, пов’язані з роздрібними обліковими записами Amazon. Якщо таких електронних листів не знайдено, сценарій створить новий обліковий запис Amazon, використовуючи адресу електронної пошти. Інший інструмент автоматизує початкові параметри гаманця криптовалюти спеціально для Bitcoin та Ethereum.

Ці висновки підкреслюють постійну природу AlienFox, що постійно розвивається, і його вдосконалення. Для організацій вкрай важливо залишатися пильними та вживати необхідних заходів для захисту своїх систем від таких загроз.