Хакерская программа с обширной биографией успешно атакует криптокошельки и сервисы Microsoft, Google, WordPress
Сразу три версии набора вредоносов AlienFox используются для кражи реквизитов доступа к онлайн-сервисам и взлома криптокошельков. Атакам подвержены некорректно настроенные серверы.
Типичные ошибки в настройках
Недавно выявленный набор вредоносных инструментов способен красть реквизиты доступа к 18 облачным сервисам. AlienFox используется для сканирования серверов с некорректными настройками и вывода сведений о доступе к облачным почтовым ресурсам.
AlienFox продается через закрытый канал в Telegram. Исследователи компании SentinelLabs отметили, что AlienFox нацеливается на типичные ошибки в настройках онлайн-сервисов, таких как Laravel, Drupal, Joomla, Magento, Opencart, Prestashop и WordPress. Все это системы хостинга и управления контентом.
К настоящему времени известны три версии AlienFox, что может означать, что авторы этого набора продолжают его активную разработку.
Неджентльменский набор
Сам по себе AlienFox состоит из различных специализированных инструментов и модифицированных утилит с открытым исходным кодом разных авторов.
Злоумышленники используют AlienFox для составления списка неправильно настроенных облачных эндпойнтов на основе данных от платформ для сканирования уязвимостей, таких как LeakIX или SecurityTrails.
Затем в дело вступают скрипты для вывода данных, с помошью которых на недонастроенных серверах выискиваются файлы настроек, содержащие ключи API, реквизиты доступа и токены авторизации.
В первую очередь вредонос интересуют почтовые платформы, такие как and1, AWS, Bluemail, Exotel, GoogleWorkspace, Mailgun, Mandrill, Nexmo, MicrosoftOffice365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra и Zoho.
Еще один набор скриптов используется для обеспечения постоянного присутствия и повышения привилегий на уязвимых серверах.
Четыре версии
В SentinelLabs отметили, что самой ранней версией, используемой на данный момент в реальных атаках, является AlienFoxv2, которая специализируется на конфигурации северов и выводе файлов сред.
После этого, вредоносные программы анализируют эти файлы на предмет реквизитов доступа и пробует использовать их для попытки установления SSH-соединения с уязвимым сервером с использованием библиотеки ParamikoPython.
В AlienFoxv2 также выявлен скрипт awses.py, который автоматизирует обмен сообщениями со службой AWSSES (SimpleEmailServices — упрощенная служба электронной почты) и обеспечивает аккаунту злоумышленника в AWS постоянство присутствия с повышенными привилегиями.
Кроме того, в наборе содержится эксплойт к уязвимости десериализации в PHP-фреймворке Laravel— CVE-2022-31279.
В AlienFox третьей версии реализован автоматизированный вывод ключей и других сведений для авторизации из сред Laravel, плюс к этому украденным данным присваиваются тэги, указывающие, каким образом эти данные были выведены. Третья версия также является более продвинутой в плане сложности и оптимизированности.
Самой новой является четвертая версия, чей код оказывается наиболее качественным, скрипты лучше организованы, а охват атакуемых сервисов существенно расширен.
Именно четвертая версия стала атаковать WordPress, Joomla, Drupal, Prestashop, Magento и Opencart. К этому добавились средства перебора логинов и паролей к аккаунтам в ритейловом сайте Amazon.com и скрипты для взлома кошельков Bitcoin и Ethereum.
Эти скрипты указывают на то, что авторы AlienFox хотят максимально расширить предложение и повысить привлекательность для своих клиентов — действующих и потенциальных.
«Единственное средство противостоять таким комплектам — это сразу правильно настраивать серверы и все, что связано с доступом к ним, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — В AlienFox нет ничего сверхъестественного и невиданного, он просто эксплуатирует слабые места. Которые вполне можно и не оставлять».
Защита от AlienFox предполагает, что все настройки сервера выполнены корректно, установлено разграничение доступа, правильно выстроены разрешения для файлов, ненужные службы отключены, а также реализованы многофакторная авторизация и мониторинг нежелательной активности. Благодаря этому можно отсечь большую часть попыток несанкционированного доступа.