AlienFox - en modulär skadlig programvara som stjäl molnuppgifter

Enligt SentinelLabs finns det en ny verktygsuppsättning kallad AlienFox som angripare använder för att samla in autentiseringsuppgifter för olika molntjänstleverantörer, inklusive AWS SES och Microsoft Office 365.

Denna modulära verktygsuppsättning distribueras primärt på Telegram i form av källkodsarkiv, med några moduler tillgängliga på GitHub för potentiella angripare att använda. Trenden att attackera mindre molntjänster som inte är lämpliga för kryptominering ökar, eftersom AlienFox möjliggör och utökar efterföljande kampanjer. AlienFox har utvecklats regelbundet, med återkommande funktioner som tyder på att utvecklarna blir allt mer sofistikerade.

Skådespelare använder AlienFox för att extrahera information, såsom API-nycklar och hemligheter, från konfigurationsfiler som är exponerade på offrens webbservrar. De senare versionerna av AlienFox inkluderar skript som automatiserar skadliga åtgärder med hjälp av stulna referenser, som att etablera AWS-kontobeständighet och privilegieskalering, och samla in sändningskvoter och automatisera spamkampanjer med hjälp av offerkonton eller tjänster.

AlienFox är designat för att rikta in sig på en mängd olika webbtjänster, men fokuserar främst på molnbaserade och SaaS-tjänster för e-posthosting. Skådespelarna är opportunistiska och förlitar sig på serverfelkonfigurationer förknippade med populära webbramverk som Laravel, Drupal, Joomla, Magento, Opencart, Prestashop och WordPress. Verktygsuppsättningarna innehåller skript som letar efter dessa tjänster, och "mål"-filerna genereras av ett separat skript som använder brute force för IP:er och undernät, samt webb-API:er för intelligensplattformar med öppen källkod.

När en sårbar server identifieras extraherar aktörerna känslig information från exponerad miljö eller konfigurationsfiler, inklusive tjänster aktiverade och tillhörande API-nycklar och hemligheter.

AlienFox fortsätter att utvecklas

SentinelOne har upptäckt tre olika versioner av AlienFox som går tillbaka till februari 2022, och några av de skript som hittats har klassificerats som skadlig programvara av andra forskare, som Androxgh0st av Lacework. Det faktum att alla SES-inriktningsverktyg som analyserats av SentinelOne fokuserar på servrar som använder Laravels PHP-ramverk kan antyda att Laravel är särskilt sårbart för felkonfigurationer eller exponeringar.

AlienFox v4 är strukturerad annorlunda än de andra versionerna, där varje verktyg får en numerisk identifierare som Tool1 och Tool2. Några nya verktyg har lagts till som tyder på att utvecklarna söker efter nya användare eller utökar kapaciteten hos befintliga verktygssatser. Till exempel kontrollerar ett nytt verktyg om e-postadresser är länkade till Amazon-återförsäljarkonton och skapar ett nytt Amazon-konto med e-postadressen om det inte finns något. Ett annat verktyg automatiserar genereringen av cryptocurrency-plånboksfrön för Bitcoin och Ethereum.

På grund av dess kontinuerliga utveckling är det troligt att AlienFox kommer att fortsätta användas under lång tid.