Bulut Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar, Hizmet Olarak Kötü Amaçlı Yazılım
Saldırganlar, 18 Bulut Sağlayıcısından API Anahtarlarını ve Sırlarını Almak İçin Araç Kitini Kullanıyor
Prajeet Nair (@prajeetspeaks) •
31 Mart 2023
Bilgisayar korsanları, 18 şirkette e-posta ve web barındırma hizmetlerini ele geçirmek için “AlienFox” adlı hızlı gelişen modüler bir araç seti kullandı.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
SentinelLabs araştırmacıları, uyarlanabilir araç setinin saldırganların ihtiyaçlarını karşılamak için kolayca değiştirilebileceğini söyledi. Aracın en son yinelemesi, AWS, Google Workspace, Office365, OneSignal, Twilio, Zoho ve daha fazlası gibi hizmet sağlayıcıların yapılandırma dosyalarından API anahtarları ve sırlar gibi hassas bilgileri ayıklar.
Ağırlıklı olarak Telegram tarafından dağıtılan araç seti betikleri, GitHub gibi açık kaynak havuzlarında kolayca bulunabiliyor ve bu da vahşi ortamda sürekli uyarlama ve varyasyona yol açıyor.
SentinelOne güvenlik araştırmacısı Alex Delamotte, tehdit aktörlerinin bu araç setini LeakIX ve SecurityTrails dahil olmak üzere güvenlik tarama platformlarından yanlış yapılandırılmış ana bilgisayarların listelerini toplamak için kullandığını söylüyor.
Bu sunucu yanlış yapılandırmaları, Laravel, Drupal, Joomla, Magento, Opencart, Prestashop ve WordPress gibi popüler web çerçeveleriyle ilişkilidir.
AlienFox betikleri bu hizmetleri kontrol eder ve grabip.py ve grabsite.py gibi başka bir betik tarafından oluşturulan hedeflerin bir listesini gerektirir.
Delamotte, “Hedef oluşturma betikleri, potansiyel hedefler hakkında ayrıntılar sağlamak için IP’ler ve alt ağlar için kaba kuvvetin yanı sıra açık kaynaklı istihbarat platformları için web API’lerinin bir kombinasyonunu kullanıyor” dedi.
Güvenlik açığı bulunan bir sunucu bulunduğunda, tehdit aktörü, etkinleştirilmiş hizmetler ve ilişkili API anahtarları ve sırları gibi hassas bilgileri depolayan dosyalara erişim kazanır.
Araştırmacılar, Şubat 2022’de 2. sürümden başlayarak araçların iki sürümünü ortaya çıkardı.
Birkaç komut dosyası, diğer araştırmacılar tarafından kötü amaçlı yazılım aileleri Androxgh0st ve GreenBot olarak özetlendi.
En eski AlienFox araç setleri arasında yer alan Sürüm 2, öncelikle web sunucusu yapılandırmasından veya ortam dosyalarından kimlik bilgilerinin çıkarılmasına odaklanır. Araştırmacılar, bir aktörün AWS erişimi ve gizli anahtarları içeren araçları çalıştırdığında elde ettiği çıktıları içeren arşivi analiz ettiklerini söyledi.
AlienFox araç setinin 3.x sürümü, Laravel adlı güvenliği ihlal edilmiş bir web uygulama çerçevesinden anahtarların ve sırların çıkarılmasını otomatikleştiren Lar.py komut dosyasını içerir. Ayrıca sonuçları, hedeflenen sunucu ayrıntılarıyla birlikte bir metin dosyasına kaydeder.
Araştırmacılar, “Lar.py, AlienFox Sürüm 2 betiklerinden ve bunların türevlerinden daha olgun bir şekilde kodlanmıştır. Lar.py iş parçacığı, modüler işlevler ve başlatma değişkenleri ile Python sınıfları uygular” dedi.