Ένα νέο modular toolkit που ονομάζεται AlienFox επιτρέπει στους απειλητικούς παράγοντες να πραγματοποιούν σάρωση για διακομιστές που δεν έχουν διαμορφωθεί σωστά για να κλέψουν μυστικά ελέγχου ταυτότητας και credentials για υπηρεσίες email που βασίζονται σε cloud.
Οι συγγραφείς κακόβουλου λογισμικού και οι χάκερς στρέφονται σε ένα ιδιωτικό κανάλι Telegram για να αγοράσουν την εργαλειοθήκη, καθώς αυτή η πλατφόρμα έχει γίνει ο προορισμός τους για τέτοιου είδους συναλλαγές.
Σύμφωνα με την έρευνα της SentinelLabs για την AlienFox, αυτή η ισχυρή εργαλειοθήκη στοχεύει στη διόρθωση δημοφιλών λανθασμένων ρυθμίσεων σε ευρέως χρησιμοποιούμενα online hosting frameworks όπως το Drupal, το Opencart, το WordPress, το Magento και το Prestashop μεταξύ πολλών άλλων. Οι στοχευμένες υπηρεσίες περιλαμβάνουν επίσης το Laravel και το Joomla.
Οι ειδικοί ερευνητές έχουν εντοπίσει τρεις διαφορετικές εκδόσεις του AlienFox, γεγονός που αποδεικνύει ότι ο δημιουργός αυτού του κακόβουλου εργαλείου προσπαθεί ενεργά να ενισχύσει και να βελτιώσει τη δημιουργία του.
Το AlienFox στοχεύει τα μυστικά σας
Το AlienFox είναι ένα αρθρωτό σύνολο εργαλείων που περιλαμβάνει διάφορα προσαρμοσμένα εργαλεία και τροποποιημένα βοηθητικά προγράμματα ανοιχτού κώδικα που έχουν δημιουργηθεί από διαφορετικούς συγγραφείς.
Οι χάκερ στρέφονται στο AlienFox για να συλλέξουν λίστες με misconfigured cloud endpoints από συστήματα παρακολούθησης ασφαλείας όπως το LeakIX και το SecurityTrails.
Στη συνέχεια, το AlienFox χρησιμοποιεί script εξαγωγής δεδομένων για να εξερευνήσει λανθασμένα ρυθμισμένους servers και να εντοπίσει ευαίσθητα αρχεία ρυθμίσεων, τα οποία χρησιμοποιούνται συχνά για την αποθήκευση μυστικών όπως API keys, account credentials και authentication tokens.
Τα στοχευμένα μυστικά είναι για πλατφόρμες email που βασίζονται σε cloud, συμπεριλαμβανομένων των 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra και Zoho.
Αυτό το toolkit περιλαμβάνει και ξεχωριστά scripts που όχι μόνο εγκαθιδρύουν μόνιμη παρουσία σε ευάλωτους servers, αλλά επιτρέπουν και την κλιμάκωση των προνομίων.
Δείτε επίσης: Οι χάκερ χρησιμοποιούν το spyware της Variston στα Ηνωμένα Αραβικά Εμιράτα
Ένα εξελισσόμενο σύνολο εργαλείων
Η SentinelLabs εντόπισε το AlienFox v2 να χρησιμοποιείται ενεργά, το οποίο στοχεύει στην εξαγωγή ρυθμίσεων web server και environment file.
Στη συνέχεια, το κακόβουλο λογισμικό αναλύει τα αρχεία για credentials και τα δοκιμάζει στον στοχευμένο διακομιστή, επιχειρώντας να SSH χρησιμοποιώντας τη βιβλιοθήκη Paramiko Python.
Το AlienFox v2 περιέχει και ένα script (awses.py) που αυτοματοποιεί την αποστολή και λήψη μηνυμάτων στο AWS SES (Simple Email Services) και εφαρμόζει αυξημένα προνόμια στον λογαριασμό AWS του απειλητικού παράγοντα.
Τέλος, η δεύτερη έκδοση του AlienFox διαθέτει ένα exploit για το CVE-2022-31279, μια ευπάθεια deserialization στο Laravel PHP Framework.
Το AlienFox v3 έφερε ένα αυτοματοποιημένο κλειδί και μυστική εξαγωγή από περιβάλλοντα Laravel, ενώ τα κλεμμένα δεδομένα εμφανίζουν πλέον tags που υποδεικνύουν τη μέθοδο harvesting που χρησιμοποιήθηκε.
Πιο συγκεκριμένα, η τρίτη έκδοση του κιτ εισήγαγε καλύτερη απόδοση, τώρα με μεταβλητές initialization, κλάσεις Python με modular functions και process threading.
Η πιο πρόσφατη έκδοση του AlienFox είναι η v4, η οποία διαθέτει καλύτερη οργάνωση κώδικα και σεναρίου και επέκταση εύρους στόχευσης.
Δείτε επίσης: Το πρωτόκολλο DeFi SafeMoon χάνει 8,9 εκατ. δολάρια σε bug exploit
Πιο συγκεκριμένα, η τέταρτη έκδοση του κακόβουλου λογισμικού έχει προσθέσει στόχευση WordPress, Joomla, Drupal, Prestashop, Magento και Opencart, έναν έλεγχο λογαριασμών ιστοτόπων λιανικής Amazon.com και ένα αυτοματοποιημένο πορτοφόλι κρυπτονομισμάτων seed cracker για Bitcoin και Ethereum.
Τα νέα “wallet cracking” scripts υποδεικνύουν ότι ο developer του AlienFox θέλει να επεκτείνει το πελατολόγιο για το σύνολο εργαλείων ή να εμπλουτίσει τις δυνατότητές του για να εξασφαλίσει ανανεώσεις συνδρομών από υπάρχοντες πελάτες.
Για να παραμείνουν ασφαλείς εν μέσω αυτού του διαρκώς μεταβαλλόμενου κινδύνου, οι διαχειριστές πρέπει να ρυθμίσουν τον διακομιστή τους με τους ακριβείς περιορισμούς πρόσβασης, τις εξουσιοδοτήσεις εγγράφων και τη διαγραφή περιττών υπηρεσιών.
Επιπλέον, η προσθήκη ελέγχου ταυτότητας πολλαπλών παραγόντων και η στενή παρακολούθηση για οποιαδήποτε περίεργη ή αμφίβολη συμπεριφορά στους λογαριασμούς μπορεί να βοηθήσει στην ταχεία πρόληψη των εισβολών.
Πηγή πληροφοριών: bleepingcomputer.com
