AlienFox

Laut Infosec-Forschern wird derzeit ein neues Toolset namens AlienFox über Telegram, eine beliebte Messaging-App, verbreitet. Das Toolset wurde entwickelt, um Angreifern zu ermöglichen, Anmeldeinformationen aus API-Schlüsseln und anderen sensiblen Daten von verschiedenen Cloud-Dienstanbietern zu sammeln.

Der von den Cybersicherheitsexperten von SentinelOne veröffentlichte Bericht zeigt, dass AlienFox eine hochgradig modulare Malware ist, die sich ständig mit neuen Funktionen und Leistungsverbesserungen weiterentwickelt. Bedrohungsakteure verwenden AlienFox zum Identifizieren und Sammeln von Dienstanmeldeinformationen von exponierten oder falsch konfigurierten Diensten. Wenn ein Opfer solchen Angriffen zum Opfer fällt, kann dies mehrere Folgen haben, wie z. B. erhöhte Servicekosten, Verlust des Kundenvertrauens und Behebungskosten.

Darüber hinaus kann es auch die Türen für weitere kriminelle Kampagnen öffnen, da die neuesten Versionen von AlienFox eine Reihe von Skripten enthalten, die böswillige Operationen unter Verwendung der gestohlenen Anmeldeinformationen automatisieren können. So gibt es zum Beispiel ein Skript, das die Einrichtung von Persistenz ermöglicht, was bedeutet, dass der Angreifer auch nach einem Neustart oder Update die Kontrolle über das kompromittierte System behalten kann. Dasselbe Skript erleichtert auch die Rechteausweitung in AWS-Konten und verschafft dem Angreifer dadurch mehr Zugriff und Kontrolle.

Darüber hinaus kann eines der in AlienFox enthaltenen Skripte Spam-Kampagnen über Konten und Dienste des Opfers automatisieren, wodurch der Ruf des Opfers erheblich geschädigt und zusätzliche finanzielle Verluste verursacht werden. Insgesamt zeigt sich, dass die Nutzung von AlienFox durch Cyberkriminelle schwerwiegende und lang anhaltende Folgen für die Opfer haben kann.

AlienFox findet falsch konfigurierte Hosts

AlienFox ist ein Tool, mit dem Angreifer über Scan-Plattformen wie LeakIX und SecurityTrails Listen falsch konfigurierter Hosts sammeln. Es ist bemerkenswert, dass dies bei Bedrohungsgruppen immer häufiger vorkommt, da sie dazu neigen, legitime Sicherheitsprodukte wie Cobalt Strike für ihre böswilligen Operationen zu verwenden.

Sobald die Angreifer die anfälligen Server identifiziert haben, können sie eine Reihe von Skripten aus dem AlienFox-Toolkit verwenden, um vertrauliche Informationen von Cloud-Plattformen wie Amazon Web Services und Microsoft Office 365 zu stehlen. Es ist erwähnenswert, dass die AlienFox-Skripte zwar ausgenutzt werden können eine Reihe von Webdiensten, sie zielen hauptsächlich auf Cloud-basierte und Software-as-a-Service (SaaS) E-Mail-Hosting-Dienste ab.

Viele der ausgenutzten Fehlkonfigurationen sind mit gängigen Web-Frameworks wie Laravel, Drupal, WordPress und OpenCart verbunden. Die AlienFox-Skripte verwenden Brute-Force-Techniken für IPs und Subnetze sowie Web-APIs, wenn es um Open-Source-Intelligence-Plattformen wie SecurityTrails und LeakIX geht, um nach Cloud-Diensten zu suchen und eine Liste von Zielen zu erstellen.

Sobald ein verwundbarer Server identifiziert ist, greifen die Angreifer ein, um vertrauliche Informationen zu extrahieren. Die Cyberkriminellen verwenden Skripte, die auf Token und andere Geheimnisse von über einem Dutzend Cloud-Diensten abzielen, darunter AWS und Office 365 sowie Google Workspace, Nexmo, Twilio und OneSignal. Es ist offensichtlich, dass die Verwendung von AlienFox durch Angreifer eine erhebliche Bedrohung für Organisationen darstellen kann, die sich für ihren Betrieb auf Cloud-Dienste verlassen.

AlienFox-Malware befindet sich noch in aktiver Entwicklung

Bisher wurden drei Versionen von AlienFox identifiziert, die bis Februar 2022 zurückreichen. Es sei darauf hingewiesen, dass einige der gefundenen Skripte von anderen Forschern als Malware-Familien gekennzeichnet wurden.

Jedes der analysierten SES-missbrauchenden Toolsets zielt auf Server ab, die das Laravel-PHP-Framework verwenden. Diese Tatsache kann darauf hindeuten, dass Laravel besonders anfällig für Fehlkonfigurationen oder Expositionen ist.

Es ist interessant festzustellen, dass AlienFox v4 anders organisiert ist als die anderen. Beispielsweise wird jedem Werkzeug in dieser Version eine numerische Kennung wie Werkzeug1 und Werkzeug2 zugewiesen. Einige der neuen Tools deuten darauf hin, dass die Entwickler versuchen, neue Benutzer anzuziehen oder die Möglichkeiten bestehender Toolkits zu erweitern. Beispielsweise sucht ein Tool nach E-Mail-Adressen, die mit Amazon-Einzelhandelskonten verknüpft sind. Wenn keine solchen E-Mails gefunden werden, erstellt das Skript unter Verwendung der E-Mail-Adresse ein neues Amazon-Konto. Ein weiteres Tool automatisiert Kryptowährungs-Wallet-Seeds speziell für Bitcoin und Ethereum.

Diese Ergebnisse unterstreichen die sich ständig weiterentwickelnde Natur von AlienFox und seine zunehmende Ausgereiftheit. Für Unternehmen ist es unerlässlich, wachsam zu bleiben und die erforderlichen Maßnahmen zu ergreifen, um ihre Systeme vor solchen Bedrohungen zu schützen.