Novi “sveobuhvatni set alata” pod nazivom AlienFox se distribuiše na Telegramu kao način da hakeri prikupe kredencijale iz API ključeva i tajni popularnih provajdera usluga u Cloud-u.
“Širenje AlienFox-a predstavlja neprijavljeni trend ka napadu na minimalnije usluge u Cloud-u, neprikladne za rudarenje kriptovaluta, kako bi se omogućile i proširile naredne kampanje” rekao je istraživač bezbjednosti SentinelOne Alex Delamotte u izvještaju podijeljenom za The Hacker News.
Kompanija za kibernetičku bezbjednost okarakterisala je maliciozni softver kao vrlo modularan i stalno se razvija kako bi se prilagodio novim karakteristikama i poboljšanjima performansi.
Primarna upotreba AlienFox-a je nabrajanje pogrešno konfigurisanih hostova putem platformi za skeniranje kao što su LeakIX i SecurityTrails, a zatim korištenje različitih skripti u kompletu alata za izdvajanje kredencijala iz konfiguracijskih datoteka izloženih na serverima.
Konkretno, to podrazumijeva traženje osjetljivih servera povezanih s popularnim web okvirima, uključujući Laravel, Drupal, Joomla, Magento, Opencart, Prestashop i WordPress.
Najnovije verzije alata uključuju mogućnost uspostavljanja postojanosti na računu Amazon Web Services (AWS) i eskalacije privilegija, kao i automatizaciju neželjenih kampanja putem ugroženih naloga.
Napadi koji uključuju AlienFox su oportunistički, sa skriptama koje mogu prikupiti osjetljive podatke koji se odnose na AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Microsoft 365, Sendgrid, Twilio, Zimbra i Zoho.
Dvije takve skripte su AndroxGh0st i GreenBot, koje su prethodno dokumentovali Lacework i Permiso p0 Labs.
Dok je Androxgh0st dizajniran da analizira konfiguracionu datoteku za određene varijable i izvuče njihove vrednosti za naknadnu zloupotrebu, GreenBot (aka Maintance) sadrži “AWS skriptu za upornost koja kreira novi administratorski nalog i briše oteti legitimni nalog.”
Maintance dalje uključuje provjere licenciranja, sugerišući da se skripta nudi kao komercijalni alat i mogućnost izvođenja izviđanja na web serveru.
SentinelOne je rekao da je identifikovao tri različite varijante malicioznog softvera (od v2 do v4) koji datiraju još od februara 2022. godine. Značajna funkcionalnost AlienFoxV4 je njegova sposobnost da provjeri da li je email adresa već povezana s maloprodajnim računom na Amazon.com, i ako nije, kreira novi nalog koristeći tu adresu.
Da bi ublažile pretnje koje predstavlja AlienFox, organizacijama se preporučuje da se pridržavaju najboljih praksi upravljanja konfiguracijom i slijede princip najmanje privilegija (PoLP).
“Set alata AlienFox demonstrira još jednu fazu u evoluciji kibernetičkog kriminala u Cloud-u” rekao je Delamotte. “Za žrtve, kompromis može dovesti do dodatnih troškova usluga, gubitka povjerenja klijenata i troškova sanacije.”
Izvor: The Hacker News
