AlienFox — модульное вредоносное ПО, похищающее облачные учетные данные

Согласно SentinelLabs, существует новый набор инструментов под названием AlienFox, который злоумышленники используют для сбора учетных данных для различных поставщиков облачных услуг, включая AWS SES и Microsoft Office 365.

Этот модульный набор инструментов в основном распространяется в Telegram в виде архивов исходного кода, а некоторые модули доступны на GitHub для использования потенциальными злоумышленниками. Тенденция атаковать небольшие облачные сервисы, которые не подходят для криптомайнинга, растет, поскольку AlienFox запускает и расширяет последующие кампании. AlienFox регулярно развивается, и повторяющиеся функции свидетельствуют о том, что разработчики становятся все более изощренными.

Злоумышленники используют AlienFox для извлечения информации, такой как ключи API и секреты, из файлов конфигурации, которые доступны на веб-серверах жертв. Более поздние версии AlienFox включают скрипты, которые автоматизируют вредоносные действия с использованием украденных учетных данных, таких как сохранение учетной записи AWS и повышение привилегий, а также сбор квот на отправку и автоматизация спам-кампаний с использованием учетных записей или служб жертвы.

AlienFox предназначен для различных веб-сервисов, но в основном ориентирован на облачные сервисы и сервисы хостинга электронной почты «программное обеспечение как услуга» (SaaS). Актеры авантюристичны и полагаются на неправильные конфигурации серверов, связанные с популярными веб-фреймворками, такими как Laravel, Drupal, Joomla, Magento, Opencart, Prestashop и WordPress. Наборы инструментов содержат сценарии, которые проверяют наличие этих служб, а «целевые» файлы генерируются отдельным сценарием, который использует грубую силу для IP-адресов и подсетей, а также веб-API для интеллектуальных платформ с открытым исходным кодом.

При обнаружении уязвимого сервера субъекты извлекают конфиденциальную информацию из открытой среды или файлов конфигурации, включая включенные службы и связанные с ними ключи и секреты API.

AlienFox продолжает развиваться

SentinelOne обнаружил три разные версии AlienFox, датированные февралем 2022 года, и некоторые из найденных скриптов были классифицированы другими исследователями, как Androxgh0st от Lacework, как семейства вредоносных программ. Тот факт, что все наборы инструментов для SES-таргетинга, проанализированные SentinelOne, ориентированы на серверы, использующие PHP-фреймворк Laravel, может означать, что Laravel особенно уязвим для неправильных конфигураций или экспозиций.

AlienFox v4 структурирован иначе, чем другие версии: каждый инструмент получает числовой идентификатор, например Tool1 и Tool2. Добавлены некоторые новые инструменты, которые предполагают, что разработчики ищут новых пользователей или расширяют возможности существующих наборов инструментов. Например, один новый инструмент проверяет, связаны ли адреса электронной почты с розничными учетными записями Amazon, и создает новую учетную запись Amazon с адресом электронной почты, если ее нет. Другой инструмент автоматизирует генерацию сидов кошелька криптовалюты для биткойнов и эфириума.

В связи с его непрерывным развитием вполне вероятно, что AlienFox будет использоваться еще долгое время.