AlienFox - en modulær skadelig programvare som stjeler skylegitimasjon

I følge SentinelLabs er det et nytt verktøysett kalt AlienFox som angripere bruker for å samle legitimasjon for ulike skytjenesteleverandører, inkludert AWS SES og Microsoft Office 365.

Dette modulære verktøysettet distribueres primært på Telegram i form av kildekodearkiver, med noen moduler tilgjengelig på GitHub for potensielle angripere å bruke. Trenden med å angripe mindre skytjenester som ikke er egnet for kryptominering er på vei oppover, ettersom AlienFox muliggjør og utvider påfølgende kampanjer. AlienFox har utviklet seg jevnlig, med tilbakevendende funksjoner som tyder på at utviklerne blir stadig mer sofistikerte.

Skuespillere bruker AlienFox til å trekke ut informasjon, som API-nøkler og hemmeligheter, fra konfigurasjonsfiler som er eksponert på ofrenes webservere. De senere versjonene av AlienFox inkluderer skript som automatiserer ondsinnede handlinger ved å bruke stjålet legitimasjon, for eksempel å etablere AWS-kontoutholdenhet og privilegieeskalering, og samle inn sendekvoter og automatisere spam-kampanjer ved å bruke offerkontoer eller tjenester.

AlienFox er designet for å målrette mot en rekke netttjenester, men fokuserer først og fremst på skybaserte og programvare-som-en-tjeneste (SaaS) e-postvertstjenester. Aktørene er opportunistiske og er avhengige av serverfeilkonfigurasjoner assosiert med populære nettrammeverk som Laravel, Drupal, Joomla, Magento, Opencart, Prestashop og WordPress. Verktøysettene inneholder skript som ser etter disse tjenestene, og 'mål'-filene genereres av et eget skript som bruker brute force for IP-er og undernett, samt web-API-er for åpen kildekode-intelligensplattformer.

Når en sårbar server identifiseres, trekker aktørene ut sensitiv informasjon fra eksponerte miljø- eller konfigurasjonsfiler, inkludert tjenester som er aktivert og tilhørende API-nøkler og hemmeligheter.

AlienFox fortsetter å utvikle seg

SentinelOne har oppdaget tre forskjellige versjoner av AlienFox som dateres tilbake til februar 2022, og noen av skriptene som ble funnet har blitt klassifisert som skadevarefamilier av andre forskere, for eksempel Androxgh0st av Lacework. Det faktum at alle SES-målrettingsverktøysettene analysert av SentinelOne fokuserer på servere som bruker Laravel PHP-rammeverket, kan antyde at Laravel er spesielt utsatt for feilkonfigurasjoner eller eksponeringer.

AlienFox v4 er strukturert annerledes enn de andre versjonene, med hvert verktøy som mottar en numerisk identifikator som Tool1 og Tool2. Noen nye verktøy er lagt til som antyder at utviklerne søker etter nye brukere eller utvider mulighetene til eksisterende verktøysett. Et nytt verktøy sjekker for eksempel om e-postadresser er knyttet til Amazon-forhandlerkontoer og oppretter en ny Amazon-konto med e-postadressen hvis det ikke finnes en. Et annet verktøy automatiserer genereringen av cryptocurrency-lommebokfrø for Bitcoin og Ethereum.

På grunn av den kontinuerlige utviklingen er det sannsynlig at AlienFox vil fortsette å bli brukt i lang tid.