MKD-CIRT National Centre for Computer Incident Response
Новата модуларна алатка наречена „AlienFox“ им овозможува на хакерите да скенираат погрешно конфигурирани сервери за да украдат тајни за автентикација и акредитивите за е-пошта базирани на облак.
Комплетот алатки се продава на сајбер криминалци преку приватен канал на Telegram.
Истражувачите од SentinelLabs кои го анализираа AlienFox известуваат дека множеството алатки таргетира вообичаени погрешни конфигурации во популарните услуги како рамки за онлајн хостирање, како што се Laravel, Drupal, Joomla, Magento, Opencart, Prestashop и WordPress.
Аналитичарите идентификуваа три верзии на AlienFox, што покажува дека авторот на пакетот алатки активно ја развива и подобрува малициозната алатка.
AlienFox е модуларен сет на алатки што се состои од различни сопствени алатки и модифицирани алатки со отворен код создадени од различни автори.
Хакерите го користат AlienFox за да собираат списоци со погрешно конфигурирани крајни точки на облак од платформи за безбедно скенирање како LeakIX и SecurityTrails.
Потоа, AlienFox користи скрипти за вадење податоци за пребарување на погрешно конфигурираните сервери за чувствителни конфигурациски датотеки што вообичаено се користат за складирање на тајни, како што се API клучеви, акредитиви за сметка и токени за автентикација.
Таргетираните тајни се наменети за платформи за е-пошта базирани на облак, вклучувајќи 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra и Zoho.
Комплетот алатки, исто така, вклучува посебни скрипти за да се воспостави контрола и да се зголемат привилегиите на ранливите сервери.
SentinelLabs известува дека најраната верзија која е пронајдена е AlienFox v2, која се фокусира на конфигурацијата на веб-серверот и екстракција на датотеки.
Следно, малициозниот софтвер ги анализира датотеките за акредитиви и ги тестира на таргетираниот сервер, користејќи ја библиотеката Paramiko Python.
AlienFox v2 содржи и скрипта (awses.py) што го автоматизира испраќањето и примањето пораки на AWS SES (Едноставни услуги за е-пошта) и применува зголемена истрајност на привилегиите на AWS сметката на хакерот.
Конечно, втората верзија на AlienFox располага со експлоатација за CVE-2022-31279, ранливост за десериализација на Laravel PHP Framework.
Најзначајно е тоа што третата верзија на комплетот воведе подобри перформанси, сега со променливи за иницијализација, Python класи со модуларни функции и процесни нишки.
Најновата верзија на AlienFox е v4, која има подобра организација на код и скрипта и проширување на опсегот на таргетирање.
Поконкретно, четвртата верзија на малициозниот софтвер додаде WordPress, Joomla, Drupal, Prestashop, Magento и Opencart таргетирање, проверка на сметки на сајтот за малопродажба на Amazon.com и автоматизиран крекер на паричник за криптовалути за Bitcoin и Ethereum.
Новите скрипти за „кракирање паричник“ укажуваат дека развивачот на AlienFox сака да ја прошири клиентелата за комплетот алатки или да ги збогати неговите способности за да обезбеди обновување на претплатата од постојните клиенти.
За да се заштитат од оваа закана што се развива, администраторите мора да се погрижат конфигурацијата на нивниот сервер да е поставена со соодветни контроли за пристап, дозволи за датотеки и отстранување на непотребните услуги.
Дополнително, имплементирањето на MFA (мулти-факторска автентикација) и следењето на каква било невообичаена или сомнителна активност на сметките може да помогне рано да се запрат упадите.
Извор: BleepingComputer