AlienFox——一种窃取云凭证的模块化恶意软件

根据 SentinelLabs 的说法，有一个名为 AlienFox 的新工具集，攻击者正在使用它来收集各种云服务提供商的凭证，包括 AWS SES 和 Microsoft Office 365。

这个模块化工具集主要以源代码存档的形式分布在 Telegram 上，GitHub 上有一些模块可供潜在攻击者使用。攻击不适合加密挖矿的小型云服务的趋势正在上升，因为 AlienFox 启用并扩展了后续活动。 AlienFox 一直在定期发展，反复出现的功能表明开发人员变得越来越成熟。

攻击者使用 AlienFox 从暴露在受害者 Web 服务器上的配置文件中提取信息，例如 API 密钥和机密。 AlienFox 的更高版本包括使用窃取的凭据自动执行恶意操作的脚本，例如建立 AWS 帐户持久性和特权升级，以及收集发送配额和使用受害者帐户或服务自动执行垃圾邮件活动。

AlienFox 旨在针对各种网络服务，但主要侧重于基于云的软件即服务 (SaaS) 电子邮件托管服务。攻击者是投机取巧的，并且依赖与 Laravel、Drupal、Joomla、Magento、Opencart、Prestashop 和 WordPress 等流行 Web 框架相关的服务器错误配置。这些工具集包含检查这些服务的脚本，“目标”文件由一个单独的脚本生成，该脚本对 IP 和子网以及开源情报平台的 Web API 使用暴力破解。

当识别出易受攻击的服务器时，参与者会从暴露的环境或配置文件中提取敏感信息，包括启用的服务和相关的 API 密钥和秘密。

AlienFox 不断进化

SentinelOne 发现了可追溯到 2022 年 2 月的三个不同版本的 AlienFox，发现的一些脚本已被其他研究人员归类为恶意软件家族，例如 Lacework 的 Androxgh0st。 SentinelOne 分析的所有 SES 目标工具集都集中在使用 Laravel PHP 框架的服务器上，这一事实可能意味着 Laravel 特别容易受到错误配置或暴露的影响。

AlienFox v4 的结构与其他版本不同，每个工具都有一个数字标识符，例如 Tool1 和 Tool2。添加了一些新工具，表明开发人员正在寻找新用户或扩展现有工具包的功能。例如，一种新工具会检查电子邮件地址是否链接到亚马逊零售账户，如果没有，则使用该电子邮件地址创建一个新的亚马逊账户。另一个工具可以自动生成比特币和以太坊的加密货币钱包种子。

由于其不断发展，AlienFox 很可能会继续使用很长时间。