AlienFox — modułowe złośliwe oprogramowanie kradnące dane uwierzytelniające w chmurze

Według SentinelLabs istnieje nowy zestaw narzędzi o nazwie AlienFox, którego atakujący używają do zbierania danych uwierzytelniających różnych dostawców usług w chmurze, w tym AWS SES i Microsoft Office 365.

Ten modułowy zestaw narzędzi jest dystrybuowany głównie w Telegramie w postaci archiwów kodu źródłowego, a niektóre moduły są dostępne w GitHub do wykorzystania przez potencjalnych atakujących. Trend atakowania mniejszych usług w chmurze, które nie nadają się do wydobywania kryptowalut, rośnie, ponieważ AlienFox umożliwia i rozwija kolejne kampanie. AlienFox regularnie ewoluuje, a powtarzające się funkcje sugerują, że programiści stają się coraz bardziej wyrafinowani.

Aktorzy używają AlienFox do wydobywania informacji, takich jak klucze API i sekrety, z plików konfiguracyjnych, które są udostępniane na serwerach internetowych ofiar. Późniejsze wersje AlienFox zawierają skrypty, które automatyzują złośliwe działania przy użyciu skradzionych danych uwierzytelniających, takie jak ustanawianie trwałości konta AWS i eskalacja uprawnień oraz zbieranie limitów wysyłania i automatyzacja kampanii spamowych przy użyciu kont lub usług ofiar.

AlienFox jest przeznaczony do kierowania różnych usług internetowych, ale koncentruje się przede wszystkim na usługach hostingu poczty e-mail opartych na chmurze i oprogramowanie jako usługa (SaaS). Aktorzy są oportunistami i polegają na błędnych konfiguracjach serwerów związanych z popularnymi frameworkami internetowymi, takimi jak Laravel, Drupal, Joomla, Magento, Opencart, Prestashop i WordPress. Zestawy narzędzi zawierają skrypty, które sprawdzają te usługi, a pliki „docelowe” są generowane przez oddzielny skrypt, który wykorzystuje brutalną siłę dla adresów IP i podsieci, a także internetowych interfejsów API dla platform analitycznych typu open source.

Po zidentyfikowaniu podatnego serwera aktorzy wyodrębniają poufne informacje z narażonego środowiska lub plików konfiguracyjnych, w tym włączone usługi oraz powiązane klucze i tajne interfejsy API.

AlienFox ciągle ewoluuje

SentinelOne wykrył trzy różne wersje AlienFox, których początki sięgają lutego 2022 r., a niektóre ze znalezionych skryptów zostały sklasyfikowane jako rodziny szkodliwego oprogramowania przez innych badaczy, takich jak Androxgh0st firmy Lacework. Fakt, że wszystkie zestawy narzędzi do targetowania SES analizowane przez SentinelOne koncentrują się na serwerach korzystających z frameworka Laravel PHP, może sugerować, że Laravel jest szczególnie podatny na błędne konfiguracje lub narażenia.

AlienFox v4 ma inną strukturę niż pozostałe wersje, a każde narzędzie otrzymuje numeryczny identyfikator, taki jak Tool1 i Tool2. Dodano kilka nowych narzędzi, które sugerują, że programiści szukają nowych użytkowników lub rozszerzają możliwości istniejących zestawów narzędzi. Na przykład jedno nowe narzędzie sprawdza, czy adresy e-mail są powiązane z kontami detalicznymi Amazon i tworzy nowe konto Amazon z adresem e-mail, jeśli go nie ma. Kolejne narzędzie automatyzuje generowanie nasion portfela kryptowalut dla Bitcoin i Ethereum.

Ze względu na ciągły rozwój jest prawdopodobne, że AlienFox będzie nadal używany przez długi czas.