Обнаружен новый тулкит AlienFox, который позволяет злоумышленникам искать неправильно настроенные серверы, похищая аутентификационные секреты и учетные данные облачных сервисов.
Эксперты SentinelLabs пишут, что инструментарий распространяется через Telegram и предназначен для атак на неправильно сконфигурированные хосты в популярных сервисах, включая платформы онлайн-хостинга, такие как Laravel, Drupal, Joomla, Magento, Opencart, Prestashop и WordPress. Аналитики выявили уже три версии AlienFox и предупреждают, что автор активно развивает свою малварь.
AlienFox представляет собой модульный тулкит, в который входят различные кастомные инструменты и модифицированные опенсорсные утилиты, созданные разными авторами. Хакеры используют AlienFox для создания списков неправильно сконфигурированных облачных конечных точек (для этого используются, например, платформы LeakIX и SecurityTrails). После этого AlienFox использует скрипты извлечения данных и ищет на неправильно настроенных серверах конфиденциальные файлы конфигурации, обычно используемые для хранения секретов, включая ключи API, учетные данные и токены аутентификации.
Вредонос в основном интересуется секретами облачных почтовых платформ, включая 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra и Zoho.
Также в инструментарий входят отдельные скрипты для закрепления в системе и повышения привилегий на уязвимых серверах.
SentinelLabs пишет, что самой ранней из обнаруженных версий стала AlienFox v2, которая фокусируется на неправильных конфигурациях веб-серверов и извлечении файлов. Затем вредоносное ПО ищет в файлах учетные данные и проверяет их на целевом сервере, пытаясь подключиться по SSH с помощью библиотеки Paramiko Python. Также AlienFox v2 содержит скрипт awses.py, который автоматизирует отправку и получение сообщений AWS SES (Simple Email Services), и эксплоит для уязвимости CVE-2022-31279 в Laravel PHP Framework.
В AlienFox v3 реализовано автоматическое извлечение ключей и секретов из сред Laravel, а украденные данные содержат теги, указывающие на используемый метод сбора данных. Кроме того, в третьей версии инструментария улучшена производительность, и в этой версии появились переменные инициализации, классы Python с модульными функциями и потоковая обработка процессов.
Самая новая версия AlienFox — четвертая, имеет улучшенную организация кода и скриптов, а также расширенную область применения. В частности, AlienFox v4 нацелена на WordPress, Joomla, Drupal, Prestashop, Magento и Opencart, а также комплектуется автоматизированным взломщиком seed’ов криптовалютных кошельков для Bitcoin и Ethereum, помогает повысить привилегии и настроить автоматизацию спам-кампаний через скомпрометированные учетные записи.
«Это очень тревожная тенденция, что злоумышленники, стоящие за AlienFox, адаптируют свой инструмент, чтобы он был эффективен в отношении большего количества целей, особенно тех, которые широко используются на предприятиях», — подчеркивают исследователи.
