Новый модульный инструментарий под названием «AlienFox» («Лиса-пришелец») позволяет злоумышленникам сканировать неправильно настроенные облачные серверы для кражи ключей аутентификации и учётных данных почтовых сервисов. Инструментарий продается киберпреступниками в их собственном закрытом Telegram-канале.
Исследователи из SentinelLabs – это компания, которая занимается аналитикой и исследованием в области безопасности компьютерных систем и сетей. Она предоставляет услуги в сфере информационной безопасности, включая мониторинг угроз, защиту от взлома и поддержку в случае кризиса.
» data-html=»true» data-original-title=»SentinelLabs»>SentinelLabs, проанализировавшие AlienFox, сообщают , что данный инструментарий направлен на распространённые неправильно сконфигурированные сервера популярных сервисов, таких как Laravel, Drupal, Joomla, Magento, Opencart, Prestashop и WordPress.
AlienFox — это модульный набор инструментов, состоящий из различных пользовательских инструментов и модифицированных утилит с открытым исходным кодом, созданных разными авторами. Аналитики выявили 3 разных версии AlienFox, что указывает на то, что авторы инструментария активно развивают и совершенствуют своё вредоносное средство.
Злоумышленники используют AlienFox для сбора списков неправильно настроенных облачных серверов с платформ сканирования безопасности, таких как LeakIX и SecurityTrails. Затем инструментарий использует сценарии извлечения данных для поиска на этих серверах конфиденциальных файлов конфигурации, которые обычно используются для хранения API-ключей, учётных данных и токенов аутентификации.
В первую очередь злоумышленники нацелены на облачные почтовые платформы, такие как 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra и Zoho. Инструментарий также включает отдельные сценарии для сохранения и повышения привилегий на уязвимых серверах.
AlienFox v2, которая раньше всех появилась в дикой природе (Эксплуатация уязвимости в дикой природе (in the wild, ITW) подразумевает её активное использовании злоумышленниками.
Когда кто-то демонстрирует, как можно воспользоваться уязвимостью, это называется эксплойтом.
Когда эксплойт широко публикуется в таких источниках, как сообщения в блогах, на форумах, в базе данных эксплойтов или в средах эксплуатации по типу metasploit, его обычно называют эксплойтом в дикой природе.
» data-html=»true» data-original-title=»ITW»>ITW), фокусируется на конфигурации веб-сервера и извлечении файлов среды. Затем вредоносное ПО анализирует файлы на наличие учётных данных и проверяет их на целевом сервере, пытаясь подключиться по SSH с помощью библиотеки Paramiko Python.
AlienFox v2 также содержит сценарий (awses.py), который автоматизирует отправку и получение сообщений в AWS SES (Simple Email Services) и применяет повышенные привилегии к учетной записи AWS злоумышленника. Ещё вторая версия AlienFox содержит эксплойт для CVE-2022-31279 , уязвимости десериализации в Laravel PHP Framework.
В AlienFox v3 уже реализовано автоматическое извлечение ключей и прочих конфиденциальных данных из сред Laravel, а украденная информация содержит теги, указывающие на используемый метод сбора. В третьей версии также была улучшена производительность, а ещё она включает переменные инициализации, классы Python с модульными функциями и многопоточность процессов.
Самая последняя найденная версия AlienFox — v4, в которой улучшена организация кода и сценариев, а также расширена область применения. В частности, четвертая версия вредоносного ПО добавила таргетинг на WordPress, Joomla, Drupal, Prestashop, Magento и Opencart, средство проверки учетных записей на розничных сайтах Amazon.com и обзавелась автоматизированным взломщиком сидов криптовалютных кошельков.
Добавляемые в инструментарий сценарии указывают на то, что разработчик AlienFox хочет расширить клиентскую базу или просто обогатить возможности инструментария для обеспечения продления подписки существующих клиентов.
Чтобы защититься от этой развивающейся угрозы, администраторы сетей должны убедиться, что в конфигурации их сервера установлены надлежащие элементы управления доступом, выданы корректные права доступа к файлам, а также не установлено никаких лишних служб.
Кроме того, подключение многофакторной аутентификации (MFA (многофакторная аутентификация) — это метод защиты аккаунта, который требует предоставления нескольких способов аутентификации для получения доступа к учетной записи. Вместо использования только логина и пароля, пользователь должен предоставить дополнительные подтверждения, такие как код, отправленный на телефон или использование биометрических данных, таких как отпечаток пальца или сканирование лица. Это делает процесс взлома аккаунта сложнее и повышает уровень безопасности.
2FA (двухфакторная аутентификация) также относится к MFA. Только термин MFA не ставит ограничений на количестве вспомогательных методов аутентификации, а в 2FA таких методов ровно два.