‘AlienFox’ adlı yeni bir modüler araç seti, tehdit aktörlerinin bulut tabanlı e-posta hizmetleri için kimlik doğrulama sırlarını ve kimlik bilgilerini çalmak üzere yanlış yapılandırılmış sunucuları taramasına olanak tanır.
Araç seti, kötü amaçlı yazılım yazarları ve bilgisayar korsanları arasındaki işlemler için tipik bir huni haline gelen özel bir Telegram kanalı aracılığıyla siber suçlulara satılıyor.
AlienFox’u analiz eden SentinelLabs araştırmacıları, araç setinin Laravel, Drupal, Joomla, Magento, Opencart, Prestashop ve WordPress gibi çevrimiçi barındırma çerçeveleri gibi popüler hizmetlerdeki yaygın yanlış yapılandırmaları hedef aldığını bildirdi.
Analistler, AlienFox’un üç sürümünü belirlediler ve bu, araç setinin yazarının kötü amaçlı aracı aktif olarak geliştirdiğini ve iyileştirdiğini gösteriyor.
AlienFox sırlarınızı hedefliyor
AlienFox, farklı yazarlar tarafından oluşturulmuş çeşitli özel araçları ve değiştirilmiş açık kaynaklı yardımcı programları içeren modüler bir araç setidir.
Tehdit aktörleri, LeakIX ve SecurityTrails gibi güvenlik tarama platformlarından yanlış yapılandırılmış bulut uç noktalarının listelerini toplamak için AlienFox’u kullanır.
Ardından AlienFox, API anahtarları, hesap kimlik bilgileri ve kimlik doğrulama belirteçleri gibi sırları depolamak için yaygın olarak kullanılan hassas yapılandırma dosyalarını yanlış yapılandırılmış sunucularda aramak için veri çıkarma komut dosyalarını kullanır.
Hedeflenen sırlar, 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra ve Zoho gibi bulut tabanlı e-posta platformları içindir.
Araç seti ayrıca savunmasız sunucularda kalıcılık oluşturmak ve ayrıcalıkları yükseltmek için ayrı komut dosyaları içerir.
Gelişen bir araç seti
SentinelLabs, vahşi ortamda bulunan en eski sürümün, web sunucusu yapılandırmasına ve ortam dosyası ayıklamaya odaklanan AlienFox v2 olduğunu bildiriyor.
Ardından, kötü amaçlı yazılım dosyaları kimlik bilgileri için ayrıştırır ve onları hedeflenen sunucuda test ederek Paramiko Python kitaplığını kullanarak SSH yapmaya çalışır.
AlienFox v2 ayrıca, AWS SES’te (Basit E-posta Hizmetleri) mesaj göndermeyi ve almayı otomatikleştiren ve tehdit aktörünün AWS hesabına yükseltilmiş ayrıcalık kalıcılığı uygulayan bir komut dosyası (awses.py) içerir.
Son olarak, AlienFox’un ikinci sürümü, Laravel PHP Çerçevesinde bir serileştirme güvenlik açığı olan CVE-2022-31279 için bir istismar içerir.
AlienFox v3, Laravel ortamlarından otomatik bir anahtar ve gizli çıkarma getirirken, çalınan veriler artık kullanılan toplama yöntemini gösteren etiketler içeriyordu.
En önemlisi, kitin üçüncü sürümü, şimdi başlatma değişkenleri, modüler işlevlere sahip Python sınıfları ve işlem akışı içeren daha iyi performans sağladı.
AlienFox’un en yeni sürümü, daha iyi kod ve betik organizasyonu sunan ve kapsam genişletmeyi hedefleyen v4’tür.
Daha spesifik olarak, kötü amaçlı yazılımın dördüncü sürümü, WordPress, Joomla, Drupal, Prestashop, Magento ve Opencart hedefleme, bir Amazon.com perakende sitesi hesap denetleyicisi ve Bitcoin ve Ethereum için otomatik bir kripto para cüzdanı çekirdek kırıcı ekledi.
Yeni “cüzdan kırma” betikleri, AlienFox geliştiricisinin araç seti için müşteri yelpazesini genişletmek veya mevcut müşterilerin abonelik yenilemelerini güvence altına almak için yeteneklerini zenginleştirmek istediğini gösteriyor.
Gelişen bu tehdide karşı korunmak için yöneticiler, sunucu yapılandırmalarının uygun erişim denetimleri, dosya izinleri ve gereksiz hizmetlerin kaldırılmasıyla ayarlandığından emin olmalıdır.
Ek olarak, MFA’nın (çok faktörlü kimlik doğrulama) uygulanması ve hesaplardaki herhangi bir olağan dışı veya şüpheli etkinliğin izlenmesi izinsiz girişlerin erkenden durdurulmasına yardımcı olabilir.