Un nuevo «conjunto de herramientas completo» llamado extraterrestre se distribuye en Telegram como una forma para que los actores de amenazas obtengan credenciales de claves API y secretos de proveedores de servicios en la nube populares.
«La propagación de AlienFox representa una tendencia no denunciada hacia el ataque a servicios en la nube más mínimos, inadecuados para la criptominería, con el fin de habilitar y expandir campañas posteriores», dijo Alex Delamotte, investigador de seguridad de SentinelOne. dicho en un informe compartido con The Hacker News.
La compañía de ciberseguridad caracterizó el malware como altamente modular y en constante evolución para adaptarse a nuevas funciones y mejoras de rendimiento.
El uso principal de AlienFox es enumerar hosts mal configurados a través de plataformas de escaneo como FugaIX y SeguridadSenderosy, posteriormente, aprovechar varias secuencias de comandos en el kit de herramientas para extraer las credenciales de los archivos de configuración expuestos en los servidores.
Específicamente, implica buscar servidores susceptibles asociados con marcos web populares, incluidos Laravel, Drupal, Joomla, Magento, Opencart, Prestashop y WordPress.
Las versiones recientes de la herramienta incorporan la capacidad de establecer persistencia en una cuenta de Amazon Web Services (AWS) y escalar privilegios, así como también automatizar campañas de spam a través de las cuentas comprometidas.
Se dice que los ataques que involucran a AlienFox son oportunistas, con scripts capaces de recopilar datos confidenciales relacionados con AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Microsoft 365, Sendgrid, Twilio, Zimbra y Zoho.
Dos de estos guiones son AndroxGh0st y GreenBotque fueron previamente documentados por Lacework y Permiso p0 Labs.
Si bien Androxgh0st está diseñado para analizar un archivo de configuración en busca de variables específicas y extraer sus valores para el abuso posterior, GreenBot (también conocido como Maintance) contiene un «script de persistencia de AWS que crea una nueva cuenta de administrador y elimina la cuenta legítima secuestrada».
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
Maintance incorpora además verificaciones de licencias, lo que sugiere que el script se ofrece como una herramienta comercial y la capacidad de realizar reconocimiento en el servidor web.
SentinelOne dijo que identificó tres variantes diferentes del malware (de v2 a v4) que datan de febrero de 2022. Una funcionalidad notable de AlienFoxV4 es su capacidad para verificar si una dirección de correo electrónico ya está vinculada a una cuenta minorista de Amazon.com, y si no es así. , cree una nueva cuenta con esa dirección.
Para mitigar las amenazas que plantea AlienFox, se recomienda a las organizaciones que se adhieran a las mejores prácticas de administración de configuración y sigan el principio de privilegio mínimo (PoLP).
«El conjunto de herramientas AlienFox demuestra otra etapa en la evolución del delito cibernético en la nube», dijo Delamotte. «Para las víctimas, el compromiso puede generar costos de servicio adicionales, pérdida de confianza del cliente y costos de remediación».