Ngày 30 tháng 3 năm 2023Ravie Lakshmanan Bảo mật đám mây / Đe dọa mạng
Một “bộ công cụ toàn diện” mới được gọi là Người ngoài hành tinhCáo đang được phân phối trên Telegram như một cách để các tác nhân đe dọa thu thập thông tin xác thực từ các khóa API và bí mật từ các nhà cung cấp dịch vụ đám mây phổ biến.
Nhà nghiên cứu bảo mật Alex Delamotte của SentinelOne cho biết trong một báo cáo được chia sẻ với The Hacker News: “Sự lan rộng của AlienFox thể hiện một xu hướng không được báo cáo đối với việc tấn công các dịch vụ đám mây tối thiểu hơn, không phù hợp để khai thác tiền điện tử, nhằm kích hoạt và mở rộng các chiến dịch tiếp theo”.
Công ty an ninh mạng đã mô tả phần mềm độc hại này có tính mô-đun cao và không ngừng phát triển để phù hợp với các tính năng mới và cải tiến hiệu suất.
Mục đích sử dụng chính của AlienFox là liệt kê các máy chủ bị định cấu hình sai thông qua các nền tảng quét như LeakIX và SecurityTrails, sau đó tận dụng các tập lệnh khác nhau trong bộ công cụ để trích xuất thông tin xác thực từ các tệp cấu hình được hiển thị trên máy chủ.
Cụ thể, nó đòi hỏi phải tìm kiếm các máy chủ dễ bị tấn công liên kết với các khung web phổ biến, bao gồm Laravel, Drupal, Joomla, Magento, Opencart, Prestashop và WordPress.
Các phiên bản gần đây của công cụ kết hợp khả năng thiết lập tính bền vững trên tài khoản Amazon Web Services (AWS) và nâng cấp các đặc quyền cũng như tự động hóa các chiến dịch thư rác thông qua các tài khoản bị xâm nhập.
Các cuộc tấn công liên quan đến AlienFox được cho là mang tính cơ hội, với các tập lệnh có khả năng thu thập dữ liệu nhạy cảm liên quan đến AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Microsoft 365, Sendgrid, Twilio, Zimbra và Zoho.
Hai tập lệnh như vậy là AndroxGh0st và GreenBot, đã được ghi lại trước đây bởi Lacework và Permiso p0 Labs.
Mặc dù Androxgh0st được thiết kế để phân tích cú pháp tệp cấu hình cho các biến cụ thể và rút ra các giá trị của chúng để theo dõi lạm dụng, nhưng GreenBot (còn gọi là Bảo trì) chứa “tập lệnh liên tục AWS tạo tài khoản quản trị viên mới và xóa tài khoản hợp pháp bị xâm nhập.”
Bảo trì còn kết hợp kiểm tra cấp phép, cho thấy rằng tập lệnh đang được cung cấp dưới dạng công cụ thương mại và khả năng thực hiện trinh sát trên máy chủ web.
SentinelOne cho biết họ đã xác định được ba biến thể khác nhau của phần mềm độc hại (từ v2 đến v4) có từ tháng 2 năm 2022. Một chức năng đáng chú ý của AlienFoxV4 là khả năng kiểm tra xem địa chỉ email đã được liên kết với tài khoản bán lẻ Amazon.com chưa và nếu chưa , hãy tạo tài khoản mới bằng địa chỉ đó.
Để giảm thiểu các mối đe dọa do AlienFox gây ra, các tổ chức nên tuân thủ các phương pháp hay nhất về quản lý cấu hình và tuân theo nguyên tắc đặc quyền tối thiểu (PoLP).
“Bộ công cụ AlienFox thể hiện một giai đoạn khác trong quá trình phát triển của tội phạm mạng trên đám mây,” Delamotte nói. “Đối với nạn nhân, thỏa hiệp có thể dẫn đến chi phí dịch vụ bổ sung, mất niềm tin của khách hàng và chi phí khắc phục.”
