adlı yeni bir “kapsamlı araç seti” UzaylıFox tehdit aktörlerinin API anahtarlarından kimlik bilgilerini ve popüler bulut hizmeti sağlayıcılarından sırları toplamasının bir yolu olarak Telegram’da dağıtılıyor.
SentinelOne güvenlik araştırmacısı Alex Delamotte, The Hacker News ile paylaşılan bir raporda, “AlienFox’un yayılması, sonraki kampanyaları etkinleştirmek ve genişletmek için kripto madenciliği için uygun olmayan daha minimal bulut hizmetlerine saldırmaya yönelik bildirilmemiş bir eğilimi temsil ediyor.” Dedi.
Siber güvenlik şirketi, kötü amaçlı yazılımı son derece modüler ve yeni özellikler ile performans iyileştirmelerini barındırmak için sürekli gelişen olarak nitelendirdi.
AlienFox’un birincil kullanımı, LeakIX ve SecurityTrails gibi tarama platformları aracılığıyla yanlış yapılandırılmış ana bilgisayarları sıralamak ve ardından sunucularda açığa çıkan yapılandırma dosyalarından kimlik bilgilerini çıkarmak için araç setindeki çeşitli komut dizilerinden yararlanmaktır.
Spesifik olarak, Laravel, Drupal, Joomla, Magento, Opencart, Prestashop ve WordPress gibi popüler web çerçeveleriyle ilişkili hassas sunucuların aranmasını gerektirir.
Aracın son sürümleri, bir Amazon Web Services (AWS) hesabında kalıcılık oluşturma ve ayrıcalıkları yükseltmenin yanı sıra güvenliği ihlal edilmiş hesaplar aracılığıyla spam kampanyalarını otomatikleştirme becerisini içerir.
AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Microsoft 365, Sendgrid, Twilio, Zimbra ve Zoho ile ilgili hassas verileri toplayabilen komut dosyalarıyla AlienFox’u içeren saldırıların fırsatçı olduğu söyleniyor.
Bu tür iki komut dosyası, daha önce Lacework ve Permiso p0 Labs tarafından belgelenen AndroxGh0st ve GreenBot’tur.
Androxgh0st, belirli değişkenler için bir yapılandırma dosyasını ayrıştırmak ve devam eden kötüye kullanım için değerlerini çıkarmak üzere tasarlanırken, GreenBot (namı diğer Maintance), “yeni bir yönetici hesabı oluşturan ve ele geçirilen yasal hesabı silen bir AWS kalıcılık komut dosyası” içerir.
Bir Olay Müdahale Uzmanı Olun!
Kurşun geçirmez olay müdahalesinin sırlarını ortaya çıkarın – Cynet’in IR Lideri Asaf Perlman ile 6 Aşamalı süreçte ustalaşın!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
Bakım ayrıca, komut dosyasının ticari bir araç olarak sunulduğunu ve web sunucusunda keşif gerçekleştirme yeteneğini öneren lisans kontrollerini de içerir.
SentinelOne, kötü amaçlı yazılımın Şubat 2022’ye kadar uzanan üç farklı varyantını (v2’den v4’e) tanımladığını söyledi. AlienFoxV4’ün dikkate değer bir işlevi, bir e-posta adresinin zaten bir Amazon.com perakende hesabına bağlı olup olmadığını kontrol etme yeteneğidir. , bu adresi kullanarak yeni bir hesap oluşturun.
AlienFox’un oluşturduğu tehditleri azaltmak için kuruluşların yapılandırma yönetimi en iyi uygulamalarına uymaları ve en az ayrıcalık ilkesini (PoLP) izlemeleri önerilir.
Delamotte, “AlienFox araç seti, buluttaki siber suçun evriminde başka bir aşamayı gösteriyor” dedi. “Kurbanlar için uzlaşma, ek hizmet maliyetlerine, müşteri güveninde kayba ve düzeltme maliyetlerine yol açabilir.”