Новый модульный инструментарий под названием “AlienFox” (“Лиса-пришелец”) позволяет злоумышленникам сканировать неправильно настроенные облачные серверы для кражи ключей аутентификации и учётных данных почтовых сервисов. Инструментарий продается киберпреступниками в их собственном закрытом Telegram-канале.
Исследователи из SentinelLabs, проанализировавшие AlienFox, сообщают , что данный инструментарий направлен на распространённые неправильно сконфигурированные сервера популярных сервисов, таких как Laravel, Drupal, Joomla, Magento, Opencart, Prestashop и WordPress.
AlienFox – это модульный набор инструментов, состоящий из различных пользовательских инструментов и модифицированных утилит с открытым исходным кодом, созданных разными авторами. Аналитики выявили 3 разных версии AlienFox, что указывает на то, что авторы инструментария активно развивают и совершенствуют своё вредоносное средство.
Злоумышленники используют AlienFox для сбора списков неправильно настроенных облачных серверов с платформ сканирования безопасности, таких как LeakIX и SecurityTrails. Затем инструментарий использует сценарии извлечения данных для поиска на этих серверах конфиденциальных файлов конфигурации, которые обычно используются для хранения API-ключей, учётных данных и токенов аутентификации.
В первую очередь злоумышленники нацелены на облачные почтовые платформы, такие как 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra и Zoho. Инструментарий также включает отдельные сценарии для сохранения и повышения привилегий на уязвимых серверах.
AlienFox v2, которая раньше всех появилась в дикой природе (ITW), фокусируется на конфигурации веб-сервера и извлечении файлов среды. Затем вредоносное ПО анализирует файлы на наличие учётных данных и проверяет их на целевом сервере, пытаясь подключиться по SSH с помощью библиотеки Paramiko Python.
AlienFox v2 также содержит сценарий (awses.py), который автоматизирует отправку и получение сообщений в AWS SES (Simple Email Services) и применяет повышенные привилегии к учетной записи AWS злоумышленника. Ещё вторая версия AlienFox содержит эксплойт для CVE-2022-31279 , уязвимости десериализации в Laravel PHP Framework.
В AlienFox v3 уже реализовано автоматическое извлечение ключей и прочих конфиденциальных данных из сред Laravel, а украденная информация содержит теги, указывающие на используемый метод сбора. В третьей версии также была улучшена производительность, а ещё она включает переменные инициализации, классы Python с модульными функциями и многопоточность процессов.
Самая последняя найденная версия AlienFox – v4, в которой улучшена организация кода и сценариев, а также расширена область применения. В частности, четвертая версия вредоносного ПО добавила таргетинг на WordPress, Joomla, Drupal, Prestashop, Magento и Opencart, средство проверки учетных записей на розничных сайтах Amazon.com и обзавелась автоматизированным взломщиком сидов криптовалютных кошельков.
Добавляемые в инструментарий сценарии указывают на то, что разработчик AlienFox хочет расширить клиентскую базу или просто обогатить возможности инструментария для обеспечения продления подписки существующих клиентов.
Чтобы защититься от этой развивающейся угрозы, администраторы сетей должны убедиться, что в конфигурации их сервера установлены надлежащие элементы управления доступом, выданы корректные права доступа к файлам, а также не установлено никаких лишних служб.
Кроме того, подключение многофакторной аутентификации (MFA) и отслеживание любой необычной или подозрительной активности в учётных записях также может помочь остановить вторжение на его ранней стадии.