AlienFox – egy moduláris rosszindulatú program, amely felhőalapú hitelesítő adatokat lop

A SentinelLabs szerint létezik egy új, AlienFox nevű eszközkészlet, amelyet a támadók különböző felhőszolgáltatók, köztük az AWS SES és a Microsoft Office 365 hitelesítő adatainak gyűjtésére használnak.

Ezt a moduláris eszközkészletet elsősorban a Telegramon terjesztik forráskód-archívumok formájában, néhány modul pedig elérhető a GitHubon a potenciális támadók számára. Egyre növekszik a kisebb, kriptominálásra nem alkalmas felhőszolgáltatások támadásának tendenciája, mivel az AlienFox lehetővé teszi és kibővíti a későbbi kampányokat. Az AlienFox rendszeresen fejlődik, és az ismétlődő funkciók arra utalnak, hogy a fejlesztők egyre kifinomultabbak.

A színészek az AlienFoxot használják információk, például API-kulcsok és titkok kinyerésére az áldozatok webszerverén megjelenő konfigurációs fájlokból. Az AlienFox későbbi verziói olyan szkripteket tartalmaznak, amelyek lopott hitelesítő adatok segítségével automatizálják a rosszindulatú műveleteket, mint például az AWS-fiók fennmaradásának és a jogosultságok eszkalációjának létrehozása, valamint a küldési kvóták begyűjtése és a spamkampányok automatizálása áldozatfiókok vagy szolgáltatások segítségével.

Az AlienFoxot úgy tervezték, hogy különféle webes szolgáltatásokat célozzon meg, de elsősorban a felhőalapú és a szoftver-szolgáltatásként (SaaS) e-mail hosting szolgáltatásokra összpontosít. A szereplők opportunisták, és olyan népszerű webes keretrendszerekkel kapcsolatos szerverhibákra hagyatkoznak, mint a Laravel, Drupal, Joomla, Magento, Opencart, Prestashop és WordPress. Az eszközkészletek olyan szkripteket tartalmaznak, amelyek ellenőrzik ezeket a szolgáltatásokat, a „cél” fájlokat pedig egy külön szkript állítja elő, amely nyers erőt használ az IP-címek és alhálózatok, valamint a nyílt forráskódú intelligenciaplatformok webes API-jai számára.

Amikor egy sérülékeny kiszolgálót azonosítanak, a szereplők bizalmas információkat nyernek ki a környezeti vagy konfigurációs fájlokból, beleértve az engedélyezett szolgáltatásokat, valamint a kapcsolódó API-kulcsokat és titkokat.

Az AlienFox folyamatosan fejlődik

A SentinelOne az AlienFox három különböző verzióját fedezte fel, amelyek 2022 februárjáig nyúlnak vissza, és a talált szkriptek egy részét más kutatók rosszindulatú programcsaládnak minősítették, például a Lacework Androxgh0st. Az a tény, hogy a SentinelOne által elemzett összes SES-célzó eszközkészlet a Laravel PHP keretrendszert használó szerverekre összpontosít, arra utalhat, hogy a Laravel különösen ki van téve a hibás konfigurációknak vagy az expozícióknak.

Az AlienFox v4 felépítése eltér a többi verziótól, minden eszköz numerikus azonosítót kap, például Tool1 és Tool2. Néhány új eszköz került hozzáadásra, amelyek arra utalnak, hogy a fejlesztők új felhasználókat keresnek, vagy bővítik a meglévő eszközkészletek képességeit. Például egy új eszköz ellenőrzi, hogy az e-mail címek össze vannak-e kapcsolva az Amazon kiskereskedelmi fiókokkal, és új Amazon-fiókot hoz létre az e-mail címmel, ha nincs ilyen. Egy másik eszköz automatizálja a kriptovaluta pénztárca magok generálását a Bitcoin és az Ethereum számára.

Folyamatos fejlesztése miatt valószínű, hogy az AlienFox még sokáig használható lesz.