AlienFox: модульный тулкит для кражи учётных данных из облачных сервисов

Исследователи SentinelOne обнаружили новый комплексный инструмент для взлома под названием AlienFox — он распространяется в закрытых Telegram-каналах и уже активно используется злоумышленниками для атак на плохо настроенные серверы.

AlienFox устроен модульно: набор скриптов позволяет находить уязвимые облачные конечные точки, а затем похищать учётные данные email-сервисов, ключи API и токены аутентификации. Как отметила исследователь безопасности SentinelOne Алекс Деламотт, злоумышленники всё активнее эксплуатируют менее сложные облачные сервисы — те, что не годятся для майнинга криптовалюты, но зато открывают возможности для расширения других атакующих кампаний. По её словам, этот тренд до сих пор оставался практически незамеченным в сообществе кибербезопасности.

Сам тулкит продаётся через приватный Telegram-канал — тот же канал, каким давно пользуются авторы вредоносного ПО и сетевые хакеры для сделок между собой.

Какие платформы атакует AlienFox

Инструмент нацелен на сайты, построенные на популярных фреймворках и CMS:

  • Laravel
  • Drupal
  • Joomla
  • Magento
  • OpenCart
  • PrestaShop
  • WordPress

Эволюция инструмента: от V2 до V4

Аналитики SentinelOne зафиксировали сразу несколько версий тулкита — AlienFox V2, V3.x и AlienFoxV4, что говорит о том, что его создатель активно продолжает разработку и совершенствование инструмента.

Ранняя версия AlienFox v2 в первую очередь извлекала и модифицировала env-файлы веб-сервера, а затем пыталась подключиться к целевому серверу через библиотеку Paramiko для Python, чтобы проверить найденные в файлах учётные данные.

В AlienFox v3 добавилось автоматическое извлечение ключей и секретов из окружений Laravel, а собранные данные стали помечаться тегами с указанием способа их получения.

Последняя на момент публикации версия, AlienFox v4, отличается более упорядоченным кодом и скриптами, а зона атаки расширена ещё сильнее.

Как именно крадутся данные

Сначала злоумышленники с помощью платформ для сканирования — LeakIX и SecurityTrails — составляют списки неправильно настроенных облачных серверов. Затем в дело вступают скрипты извлечения данных: они вытаскивают из уязвимых серверов конфигурационные файлы с API-ключами, учётными данными аккаунтов и токенами аутентификации.

Помимо основной функции кражи, в тулките есть отдельные скрипты для закрепления в системе и повышения привилегий на серверах с найденными уязвимостями. В последние версии добавлены модули для получения доступа к аккаунтам AWS и эскалации привилегий в облаке. Кроме того, AlienFox умеет автоматизировать спам-рассылки, используя скомпрометированные учётные записи.

Какие облачные email-сервисы под угрозой

Список платформ, чьи учётные данные ищет AlienFox, включает 1&1, AWS, BlueMail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office 365, OneSignal, Plivo, SendGrid, Sendinblue, SparkPost, TokBox, Twilio, Zimbra и Zoho.

Рекомендации по защите

Специалисты SentinelOne советуют администраторам:

  • проверить и правильно настроить контроль доступа на серверах;
  • убедиться, что права доступа к файлам заданы корректно;
  • отключить все ненужные сервисы, работающие на сервере;
  • включить многофакторную аутентификацию;
  • внимательно отслеживать любую подозрительную активность в аккаунтах.

Источник: Cybersecurity News.