AlienFox——一種竊取雲憑證的模塊化惡意軟件

根據 SentinelLabs 的說法，有一個名為 AlienFox 的新工具集，攻擊者正在使用它來收集各種雲服務提供商的憑證，包括 AWS SES 和 Microsoft Office 365。

這個模塊化工具集主要以源代碼存檔的形式分佈在 Telegram 上，GitHub 上有一些模塊可供潛在攻擊者使用。攻擊不適合加密挖礦的小型雲服務的趨勢正在上升，因為 AlienFox 啟用並擴展了後續活動。 AlienFox 一直在定期發展，反復出現的功能表明開發人員變得越來越成熟。

攻擊者使用 AlienFox 從暴露在受害者 Web 服務器上的配置文件中提取信息，例如 API 密鑰和機密。 AlienFox 的更高版本包括使用竊取的憑據自動執行惡意操作的腳本，例如建立 AWS 帳戶持久性和特權升級，以及收集發送配額和使用受害者帳戶或服務自動執行垃圾郵件活動。

AlienFox 旨在針對各種網絡服務，但主要側重於基於雲的軟件即服務 (SaaS) 電子郵件託管服務。攻擊者是投機取巧的，並且依賴與 Laravel、Drupal、Joomla、Magento、Opencart、Prestashop 和 WordPress 等流行 Web 框架相關的服務器錯誤配置。這些工具集包含檢查這些服務的腳本，“目標”文件由一個單獨的腳本生成，該腳本對 IP 和子網以及開源情報平台的 Web API 使用暴力破解。

當識別出易受攻擊的服務器時，參與者會從暴露的環境或配置文件中提取敏感信息，包括啟用的服務和相關的 API 密鑰和秘密。

AlienFox 不斷進化

SentinelOne 發現了可追溯到 2022 年 2 月的三個不同版本的 AlienFox，發現的一些腳本已被其他研究人員歸類為惡意軟件家族，例如 Lacework 的 Androxgh0st。 SentinelOne 分析的所有 SES 目標工具集都集中在使用 Laravel PHP 框架的服務器上，這一事實可能意味著 Laravel 特別容易受到錯誤配置或暴露的影響。

AlienFox v4 的結構與其他版本不同，每個工具都有一個數字標識符，例如 Tool1 和 Tool2。添加了一些新工具，表明開發人員正在尋找新用戶或擴展現有工具包的功能。例如，一種新工具會檢查電子郵件地址是否鏈接到亞馬遜零售賬戶，如果沒有，則使用該電子郵件地址創建一個新的亞馬遜賬戶。另一個工具可以自動生成比特幣和以太坊的加密貨幣錢包種子。

由於其不斷發展，AlienFox 很可能會繼續使用很長時間。