AlienFox

據信息安全研究人員稱，一個名為 AlienFox 的新工具集目前正在通過流行的消息應用程序 Telegram 進行分發。該工具集旨在使威脅參與者能夠從各種雲服務提供商的 API 密鑰和其他敏感數據中獲取憑證。

SentinelOne 的網絡安全專家發布的報告顯示，AlienFox 是一種高度模塊化的惡意軟件，它不斷發展，具有新功能和性能改進。威脅行為者使用 AlienFox 從暴露的或錯誤配置的服務中識別和收集服務憑證。如果受害者成為此類攻擊的犧牲品，可能會導致多種後果，例如增加服務成本、失去客戶信任和補救成本。

此外，它還可以為進一步的犯罪活動打開大門，因為最新版本的 AlienFox 包含一系列腳本，可以使用竊取的憑據自動執行惡意操作。例如，有一個允許建立持久性的腳本，這意味著即使在重新啟動或更新後，攻擊者也可以保持對受感染系統的控制。同一腳本還有助於 AWS 賬戶中的權限提升，從而為攻擊者提供更大的訪問權限和控制權。

此外，AlienFox 中包含的腳本之一可以通過受害者帳戶和服務自動執行垃圾郵件活動，從而對受害者的聲譽造成重大損害並導致額外的經濟損失。總體而言，網絡犯罪分子使用 AlienFox 顯然會給受害者帶來嚴重而持久的後果。

AlienFox 定位配置錯誤的主機

AlienFox 是一種工具，攻擊者使用該工具通過掃描平台（如 LeakIX 和 SecurityTrails）收集配置錯誤的主機列表。值得注意的是，這是威脅組織中越來越普遍的特徵，因為他們傾向於在其惡意操作中使用合法的安全產品，例如 Cobalt Strike。

一旦攻擊者確定了易受攻擊的服務器，他們就可以使用 AlienFox 工具包中的一系列腳本從 Amazon Web Services 和 Microsoft Office 365 等雲平台竊取敏感信息。值得注意的是，雖然可以利用 AlienFox 腳本來對付一系列網絡服務，它們主要針對基於雲和軟件即服務 (SaaS) 的電子郵件託管服務。

許多被利用的錯誤配置都與流行的 Web 框架有關，例如 Laravel、Drupal、WordPress 和 OpenCart。當涉及到 SecurityTrails 和 LeakIX 等開源情報平台來檢查雲服務並生成目標列表時，AlienFox 腳本對 IP 和子網以及 Web API 使用暴力破解技術。

一旦識別出易受攻擊的服務器，攻擊者就會進入並提取敏感信息。網絡犯罪分子使用的腳本針對來自十幾種雲服務的令牌和其他秘密，包括 AWS 和 Office 365，以及 Google Workspace、Nexmo、Twilio 和 OneSignal。很明顯，攻擊者使用 AlienFox 會對依賴雲服務進行運營的組織構成重大威脅。

AlienFox 惡意軟件仍在積極開發中

到目前為止，已經確定了可追溯到 2022 年 2 月的三個版本的 AlienFox。值得指出的是，發現的一些腳本已被其他研究人員標記為惡意軟件家族。

所分析的每個 SES 濫用工具集都以使用 Laravel PHP 框架的服務器為目標。這一事實可能表明 Laravel 特別容易受到錯誤配置或暴露的影響。

有趣的是，AlienFox v4 的組織方式與其他版本不同。例如，此版本中的每個工具都分配了一個數字標識符，例如 Tool1 和 Tool2。一些新工具表明開發人員正在嘗試吸引新用戶或增強現有工具包的功能。例如，一種工具會檢查鏈接到亞馬遜零售賬戶的電子郵件地址。如果未找到此類電子郵件，腳本將使用該電子郵件地址創建一個新的亞馬遜帳戶。另一種工具可以自動生成專門用於比特幣和以太坊的加密貨幣錢包種子。

這些發現凸顯了 AlienFox 不斷發展的本質及其日益複雜的特點。組織必須保持警惕並採取必要措施來保護其係統免受此類威脅。