AlienFox - un logiciel malveillant modulaire qui vole les informations d'identification du cloud

Selon SentinelLabs, il existe un nouvel ensemble d'outils appelé AlienFox que les attaquants utilisent pour collecter les informations d'identification de divers fournisseurs de services cloud, notamment AWS SES et Microsoft Office 365.

Cet ensemble d'outils modulaires est principalement distribué sur Telegram sous la forme d'archives de code source, avec certains modules disponibles sur GitHub pour les attaquants potentiels à utiliser. La tendance à attaquer les services cloud plus petits qui ne conviennent pas au cryptomining est à la hausse, car AlienFox permet et étend les campagnes ultérieures. AlienFox évolue régulièrement, avec des fonctionnalités récurrentes suggérant que les développeurs deviennent de plus en plus sophistiqués.

Les acteurs utilisent AlienFox pour extraire des informations, telles que des clés API et des secrets, à partir de fichiers de configuration exposés sur les serveurs Web des victimes. Les dernières versions d'AlienFox incluent des scripts qui automatisent les actions malveillantes à l'aide d'informations d'identification volées, telles que l'établissement de la persistance du compte AWS et l'élévation des privilèges, la collecte de quotas d'envoi et l'automatisation des campagnes de spam à l'aide de comptes ou de services de victimes.

AlienFox est conçu pour cibler une variété de services Web, mais se concentre principalement sur les services d'hébergement de messagerie basés sur le cloud et les logiciels en tant que service (SaaS). Les acteurs sont opportunistes et s'appuient sur des erreurs de configuration de serveur associées à des frameworks Web populaires tels que Laravel, Drupal, Joomla, Magento, Opencart, Prestashop et WordPress. Les ensembles d'outils contiennent des scripts qui vérifient ces services, et les fichiers "cibles" sont générés par un script séparé qui utilise la force brute pour les adresses IP et les sous-réseaux, ainsi que des API Web pour les plates-formes de renseignement open source.

Lorsqu'un serveur vulnérable est identifié, les acteurs extraient des informations sensibles de l'environnement exposé ou des fichiers de configuration, y compris les services activés et les clés et secrets API associés.

AlienFox continue d'évoluer

SentinelOne a découvert trois versions différentes d'AlienFox qui remontent à février 2022, et certains des scripts trouvés ont été classés comme des familles de logiciels malveillants par d'autres chercheurs, comme Androxgh0st de Lacework. Le fait que tous les ensembles d'outils de ciblage SES analysés par SentinelOne se concentrent sur les serveurs utilisant le framework PHP Laravel pourrait impliquer que Laravel est particulièrement vulnérable aux erreurs de configuration ou aux expositions.

AlienFox v4 est structuré différemment des autres versions, chaque outil recevant un identifiant numérique tel que Tool1 et Tool2. Certains nouveaux outils ont été ajoutés, suggérant que les développeurs recherchent de nouveaux utilisateurs ou étendent les capacités des boîtes à outils existantes. Par exemple, un nouvel outil vérifie si les adresses e-mail sont liées aux comptes de vente au détail Amazon et crée un nouveau compte Amazon avec l'adresse e-mail s'il n'y en a pas. Un autre outil automatise la génération de graines de portefeuille de crypto-monnaie pour Bitcoin et Ethereum.

En raison de son développement continu, il est probable qu'AlienFox continuera à être utilisé pendant longtemps.