AlienFox – modulinė kenkėjiška programa, vagianti debesies kredencialus

„SentinelLabs“ teigimu, yra naujas įrankių rinkinys, vadinamas „AlienFox“, kurį užpuolikai naudoja įvairių debesų paslaugų teikėjų, įskaitant AWS SES ir „Microsoft Office 365“, kredencialams rinkti.

Šis modulinis įrankių rinkinys pirmiausia platinamas „Telegram“ šaltinio kodo archyvų pavidalu, o kai kurie moduliai pasiekiami „GitHub“, kad galėtų naudotis potencialiais užpuolikais. Didėja tendencija atakuoti mažesnes debesų paslaugas, netinkamas šifravimui, nes AlienFox įgalina ir išplečia vėlesnes kampanijas. „AlienFox“ buvo nuolat tobulinama, o pasikartojančios funkcijos rodo, kad kūrėjai tampa vis sudėtingesni.

Aktoriai naudoja „AlienFox“, norėdami išgauti informaciją, pvz., API raktus ir paslaptis, iš konfigūracijos failų, kurie rodomi aukų žiniatinklio serveriuose. Vėlesnėse „AlienFox“ versijose yra scenarijų, kurie automatizuoja kenkėjiškus veiksmus naudojant pavogtus kredencialus, pvz., AWS paskyros išlikimo ir privilegijų eskalavimo nustatymą, siuntimo kvotų rinkimą ir šlamšto kampanijų automatizavimą naudojant aukų paskyras ar paslaugas.

„AlienFox“ sukurtas taikyti įvairioms žiniatinklio paslaugoms, tačiau daugiausia dėmesio skiria debesų ir programinės įrangos kaip paslaugos (SaaS) el. pašto prieglobos paslaugoms. Aktoriai yra oportunistiniai ir remiasi netinkamomis serverio konfigūracijomis, susijusiomis su populiariomis žiniatinklio sistemomis, tokiomis kaip „Laravel“, „Drupal“, „Joomla“, „Magento“, „Opencart“, „Prestashop“ ir „WordPress“. Įrankių rinkiniuose yra scenarijų, kurie tikrina šias paslaugas, o „tiksliniai“ failai generuojami naudojant atskirą scenarijų, kuris naudoja brutalią jėgą IP ir potinkliams, taip pat žiniatinklio API atvirojo kodo žvalgybos platformoms.

Kai nustatomas pažeidžiamas serveris, veikėjai iš atskleistų aplinkos arba konfigūracijos failų ištraukia neskelbtiną informaciją, įskaitant įgalintas paslaugas ir susijusius API raktus bei paslaptis.

AlienFox nuolat vystosi

„SentinelOne“ atrado tris skirtingas „AlienFox“ versijas, sukurtas 2022 m. vasario mėn., o kai kuriuos rastus scenarijus kiti tyrėjai priskyrė kenkėjiškų programų šeimoms, pavyzdžiui, „Lacework“ Androxgh0st. Tai, kad visi „SentinelOne“ analizuoti SES taikymo įrankių rinkiniai yra skirti serveriams, naudojantiems „Laravel PHP“ sistemą, gali reikšti, kad „Laravel“ yra ypač pažeidžiama dėl netinkamų konfigūracijų ar poveikio.

AlienFox v4 struktūra skiriasi nuo kitų versijų, kiekvienas įrankis gauna skaitmeninį identifikatorių, pvz., Tool1 ir Tool2. Pridėta keletas naujų įrankių, kurie rodo, kad kūrėjai ieško naujų vartotojų arba plečia esamų įrankių rinkinių galimybes. Pavyzdžiui, vienas naujas įrankis patikrina, ar el. pašto adresai susieti su „Amazon“ mažmeninėmis paskyromis, ir sukuria naują „Amazon“ paskyrą su el. pašto adresu, jei jo nėra. Kitas įrankis automatizuoja kriptovaliutų piniginės sėklų generavimą Bitcoin ir Ethereum.

Dėl nuolatinio tobulėjimo tikėtina, kad AlienFox bus naudojamas dar ilgai.