AlienFox - en modulær malware, der stjæler cloud-legitimationsoplysninger
Ifølge SentinelLabs er der et nyt værktøjssæt kaldet AlienFox, som angribere bruger til at indsamle legitimationsoplysninger til forskellige cloud-tjenesteudbydere, herunder AWS SES og Microsoft Office 365.
Dette modulære værktøjssæt distribueres primært på Telegram i form af kildekodearkiver, med nogle moduler tilgængelige på GitHub, som potentielle angribere kan bruge. Tendensen med at angribe mindre cloud-tjenester, der ikke er egnet til kryptominering, er stigende, da AlienFox muliggør og udvider efterfølgende kampagner. AlienFox har udviklet sig regelmæssigt, med tilbagevendende funktioner, der tyder på, at udviklerne bliver mere og mere sofistikerede.
Skuespillere bruger AlienFox til at udtrække information, såsom API-nøgler og hemmeligheder, fra konfigurationsfiler, der er afsløret på ofrenes webservere. De senere versioner af AlienFox inkluderer scripts, der automatiserer ondsindede handlinger ved hjælp af stjålne legitimationsoplysninger, såsom etablering af AWS-kontovedholdenhed og privilegieeskalering, og indsamling af sendekvoter og automatisering af spamkampagner ved hjælp af offerkonti eller tjenester.
AlienFox er designet til at målrette en række forskellige webtjenester, men fokuserer primært på cloud-baserede og software-as-a-service (SaaS) e-mail-hostingtjenester. Skuespillerne er opportunistiske og er afhængige af serverfejlkonfigurationer forbundet med populære web-frameworks som Laravel, Drupal, Joomla, Magento, Opencart, Prestashop og WordPress. Værktøjssættene indeholder scripts, der søger efter disse tjenester, og 'mål'-filerne genereres af et separat script, der bruger brute force til IP'er og undernet, samt web-API'er til open source intelligensplatforme.
Når en sårbar server identificeres, udtrækker aktørerne følsomme oplysninger fra eksponerede miljø- eller konfigurationsfiler, inklusive tjenester aktiverede og tilhørende API-nøgler og hemmeligheder.
AlienFox fortsætter med at udvikle sig
SentinelOne har opdaget tre forskellige versioner af AlienFox, der går tilbage til februar 2022, og nogle af de fundne scripts er blevet klassificeret som malware-familier af andre forskere, såsom Androxgh0st af Lacework. Det faktum, at alle SES-målretningsværktøjssæt, der er analyseret af SentinelOne, fokuserer på servere, der bruger Laravel PHP-rammeværket, kan antyde, at Laravel er særligt sårbar over for fejlkonfigurationer eller eksponeringer.
AlienFox v4 er struktureret anderledes end de andre versioner, hvor hvert værktøj modtager en numerisk identifikator såsom Tool1 og Tool2. Nogle nye værktøjer er blevet tilføjet, som tyder på, at udviklerne søger efter nye brugere eller udvider mulighederne i eksisterende værktøjssæt. For eksempel tjekker et nyt værktøj, om e-mailadresser er knyttet til Amazon-detailkonti og opretter en ny Amazon-konto med e-mailadressen, hvis der ikke er en. Et andet værktøj automatiserer genereringen af cryptocurrency wallet frø til Bitcoin og Ethereum.
På grund af dens kontinuerlige udvikling er det sandsynligt, at AlienFox vil fortsætte med at blive brugt i lang tid.