Исследователи SentinelOne обнаружили новый комплексный инструмент для взлома под названием AlienFox — он распространяется в закрытых Telegram-каналах и уже активно используется злоумышленниками для атак на плохо настроенные серверы.
AlienFox устроен модульно: набор скриптов позволяет находить уязвимые облачные конечные точки, а затем похищать учётные данные email-сервисов, ключи API и токены аутентификации. Как отметила исследователь безопасности SentinelOne Алекс Деламотт, злоумышленники всё активнее эксплуатируют менее сложные облачные сервисы — те, что не годятся для майнинга криптовалюты, но зато открывают возможности для расширения других атакующих кампаний. По её словам, этот тренд до сих пор оставался практически незамеченным в сообществе кибербезопасности.
Сам тулкит продаётся через приватный Telegram-канал — тот же канал, каким давно пользуются авторы вредоносного ПО и сетевые хакеры для сделок между собой.
Какие платформы атакует AlienFox
Инструмент нацелен на сайты, построенные на популярных фреймворках и CMS:
- Laravel
- Drupal
- Joomla
- Magento
- OpenCart
- PrestaShop
- WordPress
Эволюция инструмента: от V2 до V4
Аналитики SentinelOne зафиксировали сразу несколько версий тулкита — AlienFox V2, V3.x и AlienFoxV4, что говорит о том, что его создатель активно продолжает разработку и совершенствование инструмента.
Ранняя версия AlienFox v2 в первую очередь извлекала и модифицировала env-файлы веб-сервера, а затем пыталась подключиться к целевому серверу через библиотеку Paramiko для Python, чтобы проверить найденные в файлах учётные данные.
В AlienFox v3 добавилось автоматическое извлечение ключей и секретов из окружений Laravel, а собранные данные стали помечаться тегами с указанием способа их получения.
Последняя на момент публикации версия, AlienFox v4, отличается более упорядоченным кодом и скриптами, а зона атаки расширена ещё сильнее.
Как именно крадутся данные
Сначала злоумышленники с помощью платформ для сканирования — LeakIX и SecurityTrails — составляют списки неправильно настроенных облачных серверов. Затем в дело вступают скрипты извлечения данных: они вытаскивают из уязвимых серверов конфигурационные файлы с API-ключами, учётными данными аккаунтов и токенами аутентификации.
Помимо основной функции кражи, в тулките есть отдельные скрипты для закрепления в системе и повышения привилегий на серверах с найденными уязвимостями. В последние версии добавлены модули для получения доступа к аккаунтам AWS и эскалации привилегий в облаке. Кроме того, AlienFox умеет автоматизировать спам-рассылки, используя скомпрометированные учётные записи.
Какие облачные email-сервисы под угрозой
Список платформ, чьи учётные данные ищет AlienFox, включает 1&1, AWS, BlueMail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office 365, OneSignal, Plivo, SendGrid, Sendinblue, SparkPost, TokBox, Twilio, Zimbra и Zoho.
Рекомендации по защите
Специалисты SentinelOne советуют администраторам:
- проверить и правильно настроить контроль доступа на серверах;
- убедиться, что права доступа к файлам заданы корректно;
- отключить все ненужные сервисы, работающие на сервере;
- включить многофакторную аутентификацию;
- внимательно отслеживать любую подозрительную активность в аккаунтах.
Источник: Cybersecurity News.