AlienFox - クラウド認証情報を盗むモジュール型マルウェア

SentinelLabs によると、攻撃者が AWS SES や Microsoft Office 365 などのさまざまなクラウド サービス プロバイダーの資格情報を収集するために使用している AlienFox と呼ばれる新しいツールセットがあります。

このモジュラー ツールセットは、主にソース コード アーカイブの形で Telegram で配布されており、潜在的な攻撃者が使用できるように GitHub でいくつかのモジュールを利用できます。 AlienFox がその後のキャンペーンを可能にし、拡大するにつれて、クリプトマイニングに適さない小規模なクラウド サービスを攻撃する傾向が強まっています。 AlienFox は定期的に進化しており、開発者がますます洗練されていることを示唆する機能が繰り返されています。

攻撃者は AlienFox を使用して、被害者の Web サーバーに公開されている構成ファイルから API キーやシークレットなどの情報を抽出しています。 AlienFox の新しいバージョンには、盗まれた認証情報を使用して悪意のあるアクションを自動化するスクリプトが含まれています。たとえば、AWS アカウントの永続化と権限昇格の確立、送信クォータの収集、被害者のアカウントまたはサービスを使用したスパム キャンペーンの自動化などです。

AlienFox は、さまざまな Web サービスをターゲットにするように設計されていますが、主にクラウドベースおよびサービスとしてのソフトウェア (SaaS) の電子メール ホスティング サービスに焦点を当てています。アクターは日和見主義的であり、Laravel、Drupal、Joomla、Magento、Opencart、Prestashop、WordPress などの一般的な Web フレームワークに関連するサーバーの設定ミスに依存しています。ツールセットには、これらのサービスをチェックするスクリプトが含まれており、「ターゲット」ファイルは、IP とサブネットにブルート フォースを使用する別のスクリプトと、オープンソース インテリジェンス プラットフォームの Web API によって生成されます。

脆弱なサーバーが特定されると、攻撃者は公開された環境または構成ファイルから機密情報を抽出します。これには、有効なサービスや関連する API キーとシークレットが含まれます。

進化し続けるエイリアンフォックス

SentinelOne は、2022 年 2 月にさかのぼる 3 つの異なるバージョンの AlienFox を発見しました。発見されたスクリプトの一部は、Lacework による Androxgh0st など、他の研究者によってマルウェア ファミリとして分類されています。 SentinelOne によって分析されたすべての SES ターゲット ツールセットが、Laravel PHP フレームワークを使用するサーバーに焦点を当てているという事実は、Laravel が設定ミスや露出に対して特に脆弱であることを示唆している可能性があります。

AlienFox v4 は他のバージョンとは構造が異なり、各ツールは Tool1 や Tool2 などの数値識別子を受け取ります。開発者が新しいユーザーを探しているか、既存のツールキットの機能を拡張していることを示唆する新しいツールがいくつか追加されました。たとえば、ある新しいツールは、電子メール アドレスが Amazon の小売アカウントにリンクされているかどうかを確認し、存在しない場合は電子メール アドレスを使用して新しい Amazon アカウントを作成します。別のツールは、ビットコインとイーサリアムの暗号通貨ウォレット シードの生成を自動化します。

継続的な開発により、AlienFoxは長く使用され続ける可能性があります。