一个名为“AlienFox”的新模块化工具包允许威胁行为者扫描配置错误的服务器,以窃取基于云的电子邮件服务的身份验证机密和凭据。
该工具包通过私人 Telegram 渠道出售给网络犯罪分子,该渠道已成为恶意软件作者和黑客之间交易的典型渠道。
分析 AlienFox 的 SentinelLabs 研究人员报告说,该工具集针对在线托管框架等流行服务中的常见错误配置,例如 Laravel、Drupal、Joomla、Magento、Opencart、Prestashop 和 WordPress。
分析师已经确定了 AlienFox 的三个版本,表明该工具包的作者正在积极开发和改进该恶意工具。
AlienFox 瞄准你的秘密
AlienFox 是一个模块化工具集,包含由不同作者创建的各种自定义工具和修改后的开源实用程序。
威胁行为者使用 AlienFox 从 LeakIX 和 SecurityTrails 等安全扫描平台收集配置错误的云端点列表。
然后,AlienFox 使用数据提取脚本在配置错误的服务器中搜索通常用于存储秘密的敏感配置文件,例如 API 密钥、帐户凭据和身份验证令牌。
目标机密适用于基于云的电子邮件平台,包括 1and1、AWS、Bluemail、Exotel、Google Workspace、Mailgun、Mandrill、Nexmo、Office365、OneSignal、Plivo、Sendgrid、Sendinblue、Sparkpostmail、Tokbox、Twilio、Zimbra 和 Zoho。
该工具包还包括单独的脚本,用于在易受攻击的服务器上建立持久性和提升权限。
从 AWS(左)和 Office365(右)中提取机密
不断发展的工具集
报告称,在野发现的最早版本是 AlienFox v2,它专注于 Web 服务器配置和环境文件提取。
接下来,恶意软件解析文件以获取凭据并在目标服务器上测试它们,尝试使用 Paramiko Python 库进行 SSH。
AlienFox v2 还包含一个脚本 (awses.py),可自动在 AWS SES(简单电子邮件服务)上发送和接收消息,并将提升的特权持久性应用于威胁参与者的 AWS 账户。
检索电子邮件地址
最后,AlienFox 的第二个版本具有针对 CVE-2022-31279 的利用,这是 Laravel PHP Framework 上的反序列化漏洞。
AlienFox v3 从 Laravel 环境中自动提取密钥和秘密,而被盗数据现在带有标签,表明所使用的收集方法。
最值得注意的是,该工具包的第三个版本引入了更好的性能,现在具有初始化变量、具有模块化函数的 Python 类和进程线程。
AlienFox 的最新版本是 v4,具有更好的代码和脚本组织以及目标范围扩展功能。
更具体地说,该恶意软件的第四个版本添加了 WordPress、Joomla、Drupal、Prestashop、Magento 和 Opencart 定位、Amazon.com 零售网站帐户检查器以及用于比特币和以太坊的自动加密货币钱包种子破解程序。
钱包种子生成器
新的“钱包破解”脚本表明 AlienFox 的开发人员希望扩大工具集的客户群或丰富其功能以确保现有客户的订阅续订。
为了防止这种不断演变的威胁,管理员必须确保他们的服务器配置设置有适当的访问控制、文件权限,并删除不必要的服务。
此外,实施 MFA(多因素身份验证)并监控帐户上的任何异常或可疑活动有助于及早阻止入侵。
