Stručnjaci za sigurnost kompanije SentinelOne otkrili su i analizirali novi skup alata za maliciozni softver. Nazvan „AlienFox“, komplet alata može prikupiti kredencijale za više dobavljača usluga u Cloud-u.
Upozorenje koje je u četvrtak objavio istraživač pretnji SentinelOne Alex Delamotte pokazuje da su napadači koristili AlienFox za uspješno prikupljanje API ključeva i tajni iz različitih usluga, uključujući Amazon Web Services (AWS), Simple Email Service (SES) i Microsoft Office 365.
“AlienFox je modularni set alata koji se prvenstveno distribuiše na Telegramu u obliku arhive izvornog koda. Neki moduli su dostupni na GitHub-u da svaki potencijalni napadač može da preuzme” objasnio je Delamotte.
Mnogi od ovih modula su otvorenog koda, tako da bi ih hakeri mogli prilagoditi i modifikovati kako bi odgovarali svojim potrebama.
“Evolucija ponavljajućih funkcija sugeriše da programeri postaju sve sofistikovaniji, s obzirom na performanse u prvom planu u novijim verzijama” napisao je Delamotte.
Hakeri koji koriste AlienFox koristili su komplet alata za sastavljanje lista pogrešno konfigurisanih hostova sa nekoliko platformi za sigurnosno skeniranje kao što su LeakIX i SecurityTrails.
“Oni koriste više skripti u skupu alata za izdvajanje osjetljivih informacija kao što su API ključevi i tajne iz konfiguracijskih datoteka izloženih na web serverima žrtava” piše u savjetu SentinelOne-a.
Nadalje, neke od najnovijih varijanti koje je tim uočio sadržavale su nove skripte koje su automatizovale maliciozne radnje koristeći ukradene kredencijale.
Prema Delamotteu, širenje AlienFox-a predstavlja novi trend prema napadu na minimalnije usluge u Cloud-u, neprikladne za kriptomining, kako bi se omogućile i proširile sljedeće kampanje.
“Oportunistički napadi u Cloud-u više nisu ograničeni na kriptomining: AlienFox alati olakšavaju napade na minimalne usluge kojima nedostaju resursi potrebni za rudarenje” dodao je Delamotte. „Za žrtve, kompromis može dovesti do dodatnih troškova usluga, gubitka povjerenja klijenata i troškove sanacije.”
Nalazi SentinelOne dolaze nekoliko dana nakon što je Microsoft sugerisao da se samo 1% svih dozvola za Cloud aktivno koristi, što potencijalno dovodi do ozbiljnih sigurnosnih rizika.
Izvor: Infosecurity Magazine