AlienFox
Selon les chercheurs d'infosec, un nouvel ensemble d'outils nommé AlienFox est actuellement distribué via Telegram, une application de messagerie populaire. L'ensemble d'outils est conçu pour permettre aux acteurs de la menace de collecter des informations d'identification à partir de clés API et d'autres données sensibles de divers fournisseurs de services cloud.
Le rapport publié par les experts en cybersécurité de SentinelOne révèle qu'AlienFox est un malware hautement modulaire qui évolue en permanence avec de nouvelles fonctionnalités et des améliorations de performances. Les auteurs de menaces utilisent AlienFox pour identifier et collecter les informations d'identification de service à partir de services exposés ou mal configurés. Si une victime est la proie de telles attaques, cela peut entraîner plusieurs conséquences, telles qu'une augmentation des coûts de service, une perte de confiance des clients et des coûts de remédiation.
En outre, cela peut également ouvrir les portes à d'autres campagnes criminelles, car les dernières versions d'AlienFox incluent une gamme de scripts capables d'automatiser les opérations malveillantes à l'aide des informations d'identification volées. Par exemple, il existe un script qui permet l'établissement de la persistance, ce qui signifie que l'attaquant peut garder le contrôle du système compromis même après un redémarrage ou une mise à jour. Le même script facilite également l'élévation des privilèges dans les comptes AWS, offrant ainsi à l'attaquant un accès et un contrôle accrus.
De plus, l'un des scripts inclus dans AlienFox peut automatiser les campagnes de spam via les comptes et les services des victimes, causant ainsi un préjudice important à la réputation de la victime et entraînant des pertes financières supplémentaires. Dans l'ensemble, il est évident que l'utilisation d'AlienFox par les cybercriminels peut avoir des conséquences graves et durables pour les victimes.
AlienFox localise les hôtes mal configurés
AlienFox est un outil que les attaquants utilisent pour collecter des listes d'hôtes mal configurés via des plates-formes d'analyse telles que LeakIX et SecurityTrails. Il convient de noter qu'il s'agit d'un trait de plus en plus courant parmi les groupes de menaces, car ils ont tendance à utiliser des produits de sécurité légitimes, tels que Cobalt Strike, dans leurs opérations malveillantes.
Une fois que les attaquants ont identifié les serveurs vulnérables, ils peuvent utiliser une gamme de scripts de la boîte à outils AlienFox pour voler des informations sensibles à partir de plates-formes cloud telles qu'Amazon Web Services et Microsoft Office 365. Il convient de noter que même si les scripts AlienFox peuvent être exploités contre une gamme de services Web, ils sont principalement destinés aux services d'hébergement de messagerie basés sur le cloud et Software-as-a-Service (SaaS).
De nombreuses erreurs de configuration exploitées sont associées à des frameworks Web populaires tels que Laravel, Drupal, WordPress et OpenCart. Les scripts AlienFox utilisent des techniques de force brute pour les adresses IP et les sous-réseaux, ainsi que des API Web lorsqu'il s'agit de plates-formes de renseignement open source telles que SecurityTrails et LeakIX pour vérifier les services cloud et générer une liste de cibles.
Une fois qu'un serveur vulnérable est identifié, les attaquants se déplacent pour extraire des informations sensibles. Les cybercriminels utilisent des scripts ciblant les jetons et autres secrets de plus d'une douzaine de services cloud, dont AWS et Office 365, ainsi que Google Workspace, Nexmo, Twilio et OneSignal. Il est évident que l'utilisation d'AlienFox par des attaquants peut constituer une menace importante pour les organisations qui dépendent des services cloud pour leurs opérations.
AlienFox Malware est toujours en cours de développement actif
Trois versions d'AlienFox remontant à février 2022 ont été identifiées à ce jour. Il convient de souligner que certains des scripts trouvés ont été étiquetés comme des familles de logiciels malveillants par d'autres chercheurs.
Chacun des ensembles d'outils abusant de SES qui ont été analysés cible des serveurs utilisant le framework PHP Laravel. Ce fait peut suggérer que Laravel est particulièrement sensible aux erreurs de configuration ou aux expositions.
Il est intéressant de noter qu'AlienFox v4 est organisé différemment des autres. Par exemple, chaque outil de cette version se voit attribuer un identifiant numérique, tel que Tool1 et Tool2. Certains des nouveaux outils suggèrent que les développeurs essaient d'attirer de nouveaux utilisateurs ou d'augmenter ce que les boîtes à outils existantes peuvent faire. Par exemple, un outil vérifie les adresses e-mail liées aux comptes de vente au détail Amazon. Si aucun de ces e-mails n'est trouvé, le script créera un nouveau compte Amazon à l'aide de l'adresse e-mail. Un autre outil automatise les graines de portefeuille de crypto-monnaie spécifiquement pour Bitcoin et Ethereum.
Ces résultats mettent en évidence la nature en constante évolution d'AlienFox et sa sophistication croissante. Il est impératif que les organisations restent vigilantes et prennent les mesures nécessaires pour sécuriser leurs systèmes contre de telles menaces.
