AlienFox - ένα αρθρωτό κακόβουλο λογισμικό που κλέβει διαπιστευτήρια Cloud

Σύμφωνα με το SentinelLabs, υπάρχει ένα νέο σύνολο εργαλείων που ονομάζεται AlienFox που χρησιμοποιούν οι εισβολείς για να συγκεντρώσουν διαπιστευτήρια για διάφορους παρόχους υπηρεσιών cloud, συμπεριλαμβανομένων των AWS SES και Microsoft Office 365.

Αυτό το αρθρωτό σύνολο εργαλείων διανέμεται κυρίως στο Telegram με τη μορφή αρχείων πηγαίου κώδικα, με ορισμένες ενότητες διαθέσιμες στο GitHub για χρήση από πιθανούς εισβολείς. Η τάση επίθεσης σε μικρότερες υπηρεσίες cloud που δεν είναι κατάλληλες για cryptomining βρίσκεται σε άνοδο, καθώς η AlienFox ενεργοποιεί και επεκτείνει τις επόμενες καμπάνιες. Το AlienFox εξελίσσεται τακτικά, με επαναλαμβανόμενα χαρακτηριστικά που υποδηλώνουν ότι οι προγραμματιστές γίνονται όλο και πιο εξελιγμένοι.

Οι ηθοποιοί χρησιμοποιούν το AlienFox για να εξάγουν πληροφορίες, όπως κλειδιά και μυστικά API, από αρχεία διαμόρφωσης που εκτίθενται στους διακομιστές ιστού των θυμάτων. Οι νεότερες εκδόσεις του AlienFox περιλαμβάνουν σενάρια που αυτοματοποιούν κακόβουλες ενέργειες χρησιμοποιώντας κλεμμένα διαπιστευτήρια, όπως η δημιουργία εμμονής λογαριασμού AWS και η κλιμάκωση των προνομίων και η συλλογή ορίων αποστολής και η αυτοματοποίηση καμπανιών ανεπιθύμητης αλληλογραφίας χρησιμοποιώντας λογαριασμούς ή υπηρεσίες θυμάτων.

Το AlienFox έχει σχεδιαστεί για να στοχεύει μια ποικιλία υπηρεσιών Ιστού, αλλά κυρίως εστιάζει σε υπηρεσίες φιλοξενίας email που βασίζονται σε σύννεφο και λογισμικό ως υπηρεσία (SaaS). Οι ηθοποιοί είναι ευκαιριακά και βασίζονται σε εσφαλμένες διαμορφώσεις διακομιστή που σχετίζονται με δημοφιλή πλαίσια ιστού όπως τα Laravel, Drupal, Joomla, Magento, Opencart, Prestashop και WordPress. Τα σύνολα εργαλείων περιέχουν σενάρια που ελέγχουν αυτές τις υπηρεσίες και τα αρχεία «στόχου» δημιουργούνται από ένα ξεχωριστό σενάριο που χρησιμοποιεί ωμή βία για IP και υποδίκτυα, καθώς και API Ιστού για πλατφόρμες πληροφοριών ανοιχτού κώδικα.

Όταν εντοπίζεται ένας ευάλωτος διακομιστής, οι ηθοποιοί εξάγουν ευαίσθητες πληροφορίες από εκτεθειμένο περιβάλλον ή αρχεία διαμόρφωσης, συμπεριλαμβανομένων των ενεργοποιημένων υπηρεσιών και των συσχετισμένων κλειδιών και μυστικών API.

Το AlienFox συνεχίζει να εξελίσσεται

Το SentinelOne ανακάλυψε τρεις διαφορετικές εκδόσεις του AlienFox που χρονολογούνται από τον Φεβρουάριο του 2022 και ορισμένα από τα σενάρια που βρέθηκαν έχουν ταξινομηθεί ως οικογένειες κακόβουλου λογισμικού από άλλους ερευνητές, όπως το Androxgh0st από τη Lacework. Το γεγονός ότι όλα τα σύνολα εργαλείων στόχευσης SES που αναλύονται από το SentinelOne επικεντρώνονται σε διακομιστές που χρησιμοποιούν το πλαίσιο PHP της Laravel θα μπορούσε να σημαίνει ότι η Laravel είναι ιδιαίτερα ευάλωτη σε εσφαλμένες ρυθμίσεις παραμέτρων ή εκθέσεις.

Το AlienFox v4 έχει διαφορετική δομή από τις άλλες εκδόσεις, με κάθε εργαλείο να λαμβάνει ένα αριθμητικό αναγνωριστικό όπως το Tool1 και το Tool2. Έχουν προστεθεί ορισμένα νέα εργαλεία που υποδηλώνουν ότι οι προγραμματιστές αναζητούν νέους χρήστες ή επεκτείνουν τις δυνατότητες των υπαρχόντων εργαλείων. Για παράδειγμα, ένα νέο εργαλείο ελέγχει εάν οι διευθύνσεις email είναι συνδεδεμένες με λογαριασμούς λιανικής Amazon και δημιουργεί έναν νέο λογαριασμό Amazon με τη διεύθυνση email, εάν δεν υπάρχει. Ένα άλλο εργαλείο αυτοματοποιεί τη δημιουργία πορτοφολιών κρυπτονομισμάτων για το Bitcoin και το Ethereum.

Λόγω της συνεχούς ανάπτυξής του, είναι πιθανό το AlienFox να συνεχίσει να χρησιμοποιείται για μεγάλο χρονικό διάστημα.