AlienFox

Theo các nhà nghiên cứu của infosec, một bộ công cụ mới có tên AlienFox hiện đang được phân phối qua Telegram, một ứng dụng nhắn tin phổ biến. Bộ công cụ này được thiết kế để cho phép các tác nhân đe dọa thu thập thông tin xác thực từ các khóa API và dữ liệu nhạy cảm khác từ các nhà cung cấp dịch vụ đám mây khác nhau.

Báo cáo được phát hành bởi các chuyên gia an ninh mạng tại SentinelOne, tiết lộ rằng AlienFox là một phần mềm độc hại có tính mô-đun cao, liên tục phát triển với các tính năng mới và cải tiến hiệu suất. Các tác nhân đe dọa sử dụng AlienFox để xác định và thu thập thông tin đăng nhập dịch vụ từ các dịch vụ bị lộ hoặc bị định cấu hình sai. Nếu nạn nhân trở thành nạn nhân của các cuộc tấn công như vậy, điều đó có thể dẫn đến một số hậu quả, chẳng hạn như tăng chi phí dịch vụ, mất lòng tin của khách hàng và chi phí khắc phục hậu quả.

Ngoài ra, nó cũng có thể mở ra cánh cửa cho các chiến dịch tội phạm tiếp theo vì các phiên bản mới nhất của AlienFox bao gồm một loạt các tập lệnh có thể tự động hóa các hoạt động độc hại bằng cách sử dụng thông tin đăng nhập bị đánh cắp. Chẳng hạn, có một tập lệnh cho phép thiết lập tính bền vững, nghĩa là kẻ tấn công có thể duy trì quyền kiểm soát hệ thống bị xâm nhập ngay cả sau khi khởi động lại hoặc cập nhật. Tập lệnh tương tự cũng tạo điều kiện cho việc leo thang đặc quyền trong tài khoản AWS, do đó cung cấp cho kẻ tấn công quyền truy cập và kiểm soát lớn hơn.

Hơn nữa, một trong những tập lệnh có trong AlienFox có thể tự động hóa các chiến dịch thư rác thông qua tài khoản và dịch vụ của nạn nhân, do đó gây tổn hại đáng kể đến danh tiếng của nạn nhân và dẫn đến tổn thất tài chính bổ sung. Nhìn chung, rõ ràng là việc tội phạm mạng sử dụng AlienFox có thể gây ra hậu quả nghiêm trọng và lâu dài cho các nạn nhân.

AlienFox xác định vị trí máy chủ bị định cấu hình sai

AlienFox là một công cụ mà kẻ tấn công sử dụng để thu thập danh sách các máy chủ bị định cấu hình sai thông qua các nền tảng quét như LeakIX và SecurityTrails. Đáng chú ý là đây là một đặc điểm ngày càng phổ biến giữa các nhóm đe dọa khi chúng có xu hướng sử dụng các sản phẩm bảo mật hợp pháp, chẳng hạn như Cobalt Strike, trong các hoạt động độc hại của chúng.

Khi những kẻ tấn công đã xác định được các máy chủ dễ bị tấn công, chúng có thể sử dụng một loạt tập lệnh từ bộ công cụ AlienFox để đánh cắp thông tin nhạy cảm từ các nền tảng đám mây như Amazon Web Services và Microsoft Office 365. Điều đáng chú ý là mặc dù các tập lệnh AlienFox có thể được tận dụng để chống lại một loạt các dịch vụ web, chúng chủ yếu được nhắm mục tiêu vào các dịch vụ lưu trữ email dựa trên đám mây và Phần mềm dưới dạng dịch vụ (SaaS).

Nhiều cấu hình sai được khai thác có liên quan đến các khung web phổ biến như Laravel, Drupal, WordPress và OpenCart. Các tập lệnh AlienFox sử dụng các kỹ thuật brute-force cho IP và mạng con cũng như API web khi nói đến các nền tảng thông minh nguồn mở như SecurityTrails và LeakIX để kiểm tra các dịch vụ đám mây và tạo danh sách các mục tiêu.

Khi một máy chủ dễ bị tấn công được xác định, những kẻ tấn công sẽ chuyển sang trích xuất thông tin nhạy cảm. Tội phạm mạng sử dụng các tập lệnh nhắm mục tiêu mã thông báo và các bí mật khác từ hơn một chục dịch vụ đám mây, bao gồm AWS và Office 365, cũng như Google Workspace, Nexmo, Twilio và OneSignal. Rõ ràng là việc kẻ tấn công sử dụng AlienFox có thể gây ra mối đe dọa đáng kể cho các tổ chức dựa vào dịch vụ đám mây để vận hành.

Phần mềm độc hại AlienFox vẫn đang được phát triển tích cực

Ba phiên bản AlienFox có từ tháng 2 năm 2022 đã được xác định cho đến nay. Cần chỉ ra rằng một số tập lệnh được tìm thấy đã được các nhà nghiên cứu khác gắn thẻ là họ phần mềm độc hại.

Mỗi bộ công cụ lạm dụng SES đã được phân tích nhắm mục tiêu vào các máy chủ sử dụng khung PHP của Laravel. Thực tế này có thể gợi ý rằng Laravel đặc biệt dễ bị cấu hình sai hoặc lộ.

Thật thú vị khi lưu ý rằng AlienFox v4 được tổ chức khác với những cái khác. Chẳng hạn, mỗi công cụ trong phiên bản này được gán một số nhận dạng, chẳng hạn như Tool1 và Tool2. Một số công cụ mới gợi ý rằng các nhà phát triển đang cố gắng thu hút người dùng mới hoặc tăng cường những gì bộ công cụ hiện có có thể làm. Ví dụ: một công cụ kiểm tra địa chỉ email được liên kết với tài khoản bán lẻ của Amazon. Nếu không tìm thấy email nào như vậy, tập lệnh sẽ tạo tài khoản Amazon mới bằng địa chỉ email. Một công cụ khác tự động hóa các hạt giống ví tiền điện tử dành riêng cho Bitcoin và Ethereum.

Những phát hiện này làm nổi bật bản chất không ngừng phát triển của AlienFox và sự phức tạp ngày càng tăng của nó. Các tổ chức bắt buộc phải duy trì cảnh giác và thực hiện các biện pháp cần thiết để bảo vệ hệ thống của họ khỏi các mối đe dọa như vậy.