AlienFox

据信息安全研究人员称，一个名为 AlienFox 的新工具集目前正在通过流行的消息应用程序 Telegram 进行分发。该工具集旨在使威胁参与者能够从各种云服务提供商的 API 密钥和其他敏感数据中获取凭证。

SentinelOne 的网络安全专家发布的报告显示，AlienFox 是一种高度模块化的恶意软件，它不断发展，具有新功能和性能改进。威胁行为者使用 AlienFox 从暴露的或错误配置的服务中识别和收集服务凭证。如果受害者成为此类攻击的牺牲品，可能会导致多种后果，例如增加服务成本、失去客户信任和补救成本。

此外，它还可以为进一步的犯罪活动打开大门，因为最新版本的 AlienFox 包含一系列脚本，可以使用窃取的凭据自动执行恶意操作。例如，有一个允许建立持久性的脚本，这意味着即使在重新启动或更新后，攻击者也可以保持对受感染系统的控制。同一脚本还有助于 AWS 账户中的权限提升，从而为攻击者提供更大的访问权限和控制权。

此外，AlienFox 中包含的脚本之一可以通过受害者帐户和服务自动执行垃圾邮件活动，从而对受害者的声誉造成重大损害并导致额外的经济损失。总体而言，网络犯罪分子使用 AlienFox 显然会给受害者带来严重而持久的后果。

AlienFox 定位配置错误的主机

AlienFox 是一种工具，攻击者使用该工具通过扫描平台（如 LeakIX 和 SecurityTrails）收集配置错误的主机列表。值得注意的是，这是威胁组织中越来越普遍的特征，因为他们倾向于在其恶意操作中使用合法的安全产品，例如 Cobalt Strike。

一旦攻击者确定了易受攻击的服务器，他们就可以使用 AlienFox 工具包中的一系列脚本从 Amazon Web Services 和 Microsoft Office 365 等云平台窃取敏感信息。值得注意的是，虽然可以利用 AlienFox 脚本来对付一系列网络服务，它们主要针对基于云和软件即服务 (SaaS) 的电子邮件托管服务。

许多被利用的错误配置都与流行的 Web 框架有关，例如 Laravel、Drupal、WordPress 和 OpenCart。当涉及到 SecurityTrails 和 LeakIX 等开源情报平台来检查云服务并生成目标列表时，AlienFox 脚本对 IP 和子网以及 Web API 使用暴力破解技术。

一旦识别出易受攻击的服务器，攻击者就会进入并提取敏感信息。网络犯罪分子使用的脚本针对来自十几种云服务的令牌和其他秘密，包括 AWS 和 Office 365，以及 Google Workspace、Nexmo、Twilio 和 OneSignal。很明显，攻击者使用 AlienFox 会对依赖云服务进行运营的组织构成重大威胁。

AlienFox 恶意软件仍在积极开发中

到目前为止，已经确定了可追溯到 2022 年 2 月的三个版本的 AlienFox。值得指出的是，发现的一些脚本已被其他研究人员标记为恶意软件家族。

所分析的每个 SES 滥用工具集都以使用 Laravel PHP 框架的服务器为目标。这一事实可能表明 Laravel 特别容易受到错误配置或暴露的影响。

有趣的是，AlienFox v4 的组织方式与其他版本不同。例如，此版本中的每个工具都分配了一个数字标识符，例如 Tool1 和 Tool2。一些新工具表明开发人员正在尝试吸引新用户或增强现有工具包的功能。例如，一种工具会检查链接到亚马逊零售账户的电子邮件地址。如果未找到此类电子邮件，脚本将使用该电子邮件地址创建一个新的亚马逊帐户。另一种工具可以自动生成专门用于比特币和以太坊的加密货币钱包种子。

这些发现凸显了 AlienFox 不断发展的本质及其日益复杂的特点。组织必须保持警惕并采取必要措施来保护其系统免受此类威胁。