AlienFox——一种窃取云凭证的模块化恶意软件
根据 SentinelLabs 的说法,有一个名为 AlienFox 的新工具集,攻击者正在使用它来收集各种云服务提供商的凭证,包括 AWS SES 和 Microsoft Office 365。
这个模块化工具集主要以源代码存档的形式分布在 Telegram 上,GitHub 上有一些模块可供潜在攻击者使用。攻击不适合加密挖矿的小型云服务的趋势正在上升,因为 AlienFox 启用并扩展了后续活动。 AlienFox 一直在定期发展,反复出现的功能表明开发人员变得越来越成熟。
攻击者使用 AlienFox 从暴露在受害者 Web 服务器上的配置文件中提取信息,例如 API 密钥和机密。 AlienFox 的更高版本包括使用窃取的凭据自动执行恶意操作的脚本,例如建立 AWS 帐户持久性和特权升级,以及收集发送配额和使用受害者帐户或服务自动执行垃圾邮件活动。
AlienFox 旨在针对各种网络服务,但主要侧重于基于云的软件即服务 (SaaS) 电子邮件托管服务。攻击者是投机取巧的,并且依赖与 Laravel、Drupal、Joomla、Magento、Opencart、Prestashop 和 WordPress 等流行 Web 框架相关的服务器错误配置。这些工具集包含检查这些服务的脚本,“目标”文件由一个单独的脚本生成,该脚本对 IP 和子网以及开源情报平台的 Web API 使用暴力破解。
当识别出易受攻击的服务器时,参与者会从暴露的环境或配置文件中提取敏感信息,包括启用的服务和相关的 API 密钥和秘密。
AlienFox 不断进化
SentinelOne 发现了可追溯到 2022 年 2 月的三个不同版本的 AlienFox,发现的一些脚本已被其他研究人员归类为恶意软件家族,例如 Lacework 的 Androxgh0st。 SentinelOne 分析的所有 SES 目标工具集都集中在使用 Laravel PHP 框架的服务器上,这一事实可能意味着 Laravel 特别容易受到错误配置或暴露的影响。
AlienFox v4 的结构与其他版本不同,每个工具都有一个数字标识符,例如 Tool1 和 Tool2。添加了一些新工具,表明开发人员正在寻找新用户或扩展现有工具包的功能。例如,一种新工具会检查电子邮件地址是否链接到亚马逊零售账户,如果没有,则使用该电子邮件地址创建一个新的亚马逊账户。另一个工具可以自动生成比特币和以太坊的加密货币钱包种子。
由于其不断发展,AlienFox 很可能会继续使用很长时间。