AlienFox araç seti adlı yakın zamanda keşfedilen kapsamlı bir araç seti Telegram’da dolaşıyor.
Kötü niyetli aktörlerin kötü yapılandırılmış sunucuları taramasına olanak tanıyan ve potansiyel olarak bulut tabanlı e-posta hizmeti kimlik bilgilerinin ve kimlik doğrulama sırlarının çalınmasına yol açan modüler bir araç setidir.
SentinelOne güvenlik araştırmacısı Alex Delamotte şunları söyledi:-
“Siber saldırılarda yeni bir trend, kripto para birimi madenciliği için uygun olmayan daha az karmaşık bulut hizmetlerinden yararlanmayı içeriyor. AlienFox’un yayılması, saldırganların operasyonlarını genişletmelerine ve daha fazla kampanya başlatmalarına izin verdiği için bu eğilimin bir örneğidir. Bu gelişme, siber güvenlik camiasında büyük ölçüde bildirilmedi.”
Siber suçlular, ağ korsanları ve kötü amaçlı yazılım yazarlarının işlemlerde yer alması için olağan yöntem haline gelen araç setinin kendilerine satıldığı özel bir Telegram kanalına erişebilir.
Hedeflenen Barındırma Çerçeveleri
Aşağıda, AlienFox’un hedeflediği tüm barındırma çerçevelerinden bahsetmiştik:-
- laravel
- Drupal
- Joomla
- magento
- açık araba
- prestashop
- wordpress
AlienFox’un tanımlanmış sürümleri
AlienFox’un güvenlik analistlerinin tanımladığı tüm sürümleri:-
- AlienFox v2
- AlienFox V3.x
- UzaylıFoxV4
AlienFox’un üç farklı sürümünün keşfedilmesi, araç setini oluşturan kişinin şu anda kötü niyetli araç setini aktif olarak geliştirmek ve iyileştirmekle meşgul olduğunu gösteriyor. Bu bulgu, SentinelOne security’de siber güvenlik uzmanları tarafından yapılan analizden geliyor.
AlienFox kimlik bilgilerini ve sırları çalıyor
AlienFox’ta, farklı yazarlar tarafından geliştirilen ve çeşitli değiştirilmiş açık kaynak yardımcı programlarından yararlanan bir dizi özel araç vardır.
Kötü niyetli aktörler, güvenlik tarama platformlarını kullanarak, aşağıdakiler de dahil olmak üzere kaynaklardan kötü yapılandırılmış bulut uç noktalarının envanterlerini almak için AlienFox’u kullanır: –
İkinci olarak, AlienFox, aşağıdakiler dahil olmak üzere, veri çıkarma komut dosyalarını kullanarak genellikle yanlış yapılandırılmış sunuculardan hassas verileri depolayan hassas yapılandırma dosyalarını alır:-
- API anahtarları
- Hesap kimlik bilgileri
- Kimlik doğrulama belirteçleri
Araç seti, birincil işlevine ek olarak, aracın belirlenen güvenlik açıklarına sahip sunucularda kalıcılık oluşturmasına ve ayrıcalıkları yükseltmesine olanak tanıyan bağımsız komut dosyaları içerir.
AWS hesap erişimi ve ayrıcalık yükseltme, aracın son sürümlerine entegre edilmiştir. Ayrıca araç seti, güvenliği ihlal edilmiş hesapları kullanarak işlemleri ilerletmek için spam kampanyalarını otomatikleştirebilir.
Önceki sürüm AlienFox v2, öncelikle web sunucusunun ortam dosyalarını ayıklamaya ve değiştirmeye odaklanır.
Ardından, dosyalardaki kimlik bilgilerini belirlemek ve bunları hedef sunucuda test etmek için Paramiko Python kitaplığını kullanarak hedeflenen sunucuya erişmeye çalışır.
AlienFox v3’ün piyasaya sürülmesiyle, araç seti artık anahtarları ve gizli dizileri Laravel ortamlarından otomatik olarak çıkarabilir. Ek olarak, toplanan veriler artık edinme yöntemini belirten etiketleri içerir.
AlienFox’un en son sürümü olan v4, kod ve betiklerinin gelişmiş organizasyonuna sahiptir. Ek olarak, araç setinin hedefleme kapsamı genişletildi.
Hedeflenen Bulut Tabanlı E-posta Platformları
Hedeflenen birkaç bulut tabanlı e-posta platformu vardır, örneğin: –
- 1ve1
- AWS
- mavi posta
- Exotel
- Google Workspace
- posta tabancası
- Mandril
- Sonraki
- Ofis 365
- Tek Sinyal
- Plio
- Sendgrid
- Sendinblue
- Kıvılcım postası
- Tok kutusu
- Twilio
- Zimbra
- Zoho
Öneri
Aşağıda, savunucuların gelişen bu tehdide karşı koymalarına yardımcı olacak güvenlik araştırmacıları tarafından sunulan tüm önerilerden bahsetmiştik:-
- Yöneticiler, sunucularının erişim kontrol ayarlarının buna göre yapıldığından emin olmalıdır.
- Sunucularındaki dosya izinlerinin doğru ayarlandığından emin olun.
- Sunucunuzda çalışan tüm gereksiz hizmetleri kaldırın.
- Çok faktörlü kimlik doğrulamayı etkinleştirdiğinizden emin olun.
- Hesaplarınızda olağandışı veya şüpheli görünen tüm etkinliklerin yakından izlendiğinden emin olun.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
Ayrıca Oku: