AlienFox - een modulaire malware die cloudreferenties steelt

Volgens SentinelLabs is er een nieuwe toolset genaamd AlienFox die aanvallers gebruiken om referenties te verzamelen voor verschillende cloudserviceproviders, waaronder AWS SES en Microsoft Office 365.

Deze modulaire toolset wordt voornamelijk gedistribueerd op Telegram in de vorm van broncode-archieven, met enkele modules beschikbaar op GitHub die potentiële aanvallers kunnen gebruiken. De trend om kleinere cloudservices aan te vallen die niet geschikt zijn voor cryptomining neemt toe, aangezien AlienFox daaropvolgende campagnes mogelijk maakt en uitbreidt. AlienFox evolueert regelmatig, met terugkerende functies die suggereren dat de ontwikkelaars steeds geavanceerder worden.

Actoren gebruiken AlienFox om informatie, zoals API-sleutels en geheimen, te extraheren uit configuratiebestanden die op de webservers van slachtoffers worden weergegeven. De latere versies van AlienFox bevatten scripts die kwaadaardige acties automatiseren met behulp van gestolen inloggegevens, zoals het instellen van AWS-accountpersistentie en privilege-escalatie, en het verzamelen van verzendquota en het automatiseren van spamcampagnes met behulp van slachtofferaccounts of -services.

AlienFox is ontworpen om zich te richten op een verscheidenheid aan webservices, maar richt zich voornamelijk op cloudgebaseerde en software-as-a-service (SaaS) e-mailhostingservices. De actoren zijn opportunistisch en vertrouwen op verkeerde serverconfiguraties die verband houden met populaire webframeworks zoals Laravel, Drupal, Joomla, Magento, Opencart, Prestashop en WordPress. De toolsets bevatten scripts die op deze services controleren, en de 'target'-bestanden worden gegenereerd door een apart script dat brute kracht gebruikt voor IP's en subnetten, evenals web-API's voor open-source intelligence-platforms.

Wanneer een kwetsbare server wordt geïdentificeerd, halen de actoren gevoelige informatie uit blootgestelde omgevings- of configuratiebestanden, inclusief ingeschakelde services en bijbehorende API-sleutels en geheimen.

AlienFox blijft evolueren

SentinelOne heeft drie verschillende versies van AlienFox ontdekt die dateren uit februari 2022, en sommige van de gevonden scripts zijn door andere onderzoekers geclassificeerd als malwarefamilies, zoals Androxgh0st door Lacework. Het feit dat alle toolsets voor SES-targeting die door SentinelOne zijn geanalyseerd, zich richten op servers die het Laravel PHP-framework gebruiken, zou kunnen betekenen dat Laravel bijzonder kwetsbaar is voor verkeerde configuraties of blootstellingen.

AlienFox v4 is anders gestructureerd dan de andere versies, waarbij elke tool een numerieke identificatie krijgt, zoals Tool1 en Tool2. Er zijn enkele nieuwe tools toegevoegd die suggereren dat de ontwikkelaars op zoek zijn naar nieuwe gebruikers of de mogelijkheden van bestaande toolkits uitbreiden. Een nieuwe tool controleert bijvoorbeeld of e-mailadressen zijn gekoppeld aan Amazon-retailaccounts en maakt een nieuw Amazon-account aan met het e-mailadres als er geen is. Een andere tool automatiseert het genereren van cryptocurrency wallet-seeds voor Bitcoin en Ethereum.

Vanwege de voortdurende ontwikkeling is het waarschijnlijk dat AlienFox nog lang zal worden gebruikt.