Компания SentinelLabs обнаружила новый инструментарий под названием AlienFox, который злоумышленники используют для взлома электронной почты и хостинговых служб. AlienFox имеет модульную структуру и регулярно развивается. Большинство инструментов имеют открытый исходный код, что означает, что злоумышленники могут легко адаптировать и модифицировать их в соответствии со своими потребностями. Многим разработчикам принадлежат заслуги в создании различных итераций инструментов. Эволюция повторяющихся функций говорит о том, что разработчики становятся все более изощренными, а в последних версиях на первый план выходят вопросы производительности.
Действующие лица используют AlienFox для сбора списков неправильно сконфигурированных хостов с платформ сканирования безопасности, включая LeakIX и SecurityTrails. Они используют многочисленные скрипты из набора инструментов для извлечения конфиденциальной информации, такой как ключи API и секреты, из конфигурационных файлов, открытых на веб-серверах жертв.
В более поздних версиях инструментария были добавлены сценарии, автоматизирующие вредоносные действия с использованием украденных учетных данных, в том числе:
- создание постоянных учетных записей Amazon Web Services (AWS) и повышение привилегий.
- сбор квот на отправку и автоматизация спам-кампаний через учетные записи или сервисы жертвы.
Краткое резюме
- Злоумышленники используют AlienFox для сбора API-ключей и секретов популярных сервисов, включая AWS SES и Microsoft Office 365.
- AlienFox - это модульный набор инструментов, распространяемый преимущественно в Telegram в виде архивов исходного кода. Некоторые модули доступны на GitHub для любого потенциального злоумышленника.
- Распространение AlienFox представляет собой незарегистрированную тенденцию к атакам на более минимальные облачные сервисы, непригодные для криптомайнинга, с целью создания и расширения последующих кампаний.
Indicators of Compromise
URLs
- https://rentry.co/3cii9/raw
- https://rtvsmkqfa3clrvgj6f-9fd73c.ingress-daribow.easywp.com/wp-admin/v1/1.php
Emails
SHA1
- 064734bc43ee2d83e8a275293d17fc925620bba1
- 07289c56e65a98a85bc794374949aae98b819823
- 0f1583b56dd02fc200c7dae0d3c9b32b4278846b
- 15129436f5bab6c3eea9b2dfc4d0f0043438e013
- 15ade0df5b4e6a82ceec429a2673fd1ed011eb93
- 15aec55e56225700766d79b6fb9d212cced21951
- 17592a2fdb8dae9c4c88f1fbf7e9c632129f98df
- 23abd146befe761337e5155a116138acf81331d9
- 25bbda606c72e81fac9abe76e0f00f9cd12770e4
- 28de7d7fcd18471f53737fd8a3df3a23a34cf758
- 329328dc57acece8c47ab5c73f7b9c7e4e09981a
- 3cb5b4182ef6e8174f87c8ed3551f91b72c47370
- 3ddb8dc53b6151ea036db3d2a5f34e5f5b39e044
- 40df29a738fd5cab0face169d8a8426dff7d2d10
- 41a2cab42a08adf93b5ada1eafb75d5b4f496853
- 4266bdb139ae6d22ddf98501cc3af280aa488b42
- 45a0675088afdcf2ec059510fc2a4905957c2a69
- 48afb7ac8fdf6a8da47601806a8028c61dad2eb7
- 4ab401d4c490460fd457151f643b5ec7e594cd41
- 5c9993e5d7468551c60e6dab488eccea7f4ef007
- 74c4cfa0edae5e87001c901214789cb0f0087031
- 7848e53133f4470c29e33ee6dd87f8f326c5fa38
- 7d7bad6282531521b9103817a38bff3a34b89428
- 894fd799168f9ff11e74ee37d5bec35387feef24
- 8e6e18ba7e251d31b46d17535010a8c583345b23
- 9381c30e29089639249e67b62f61c6df4869c6c1
- 959e377131762ccb879c36c53e3b71473d3b72fd
- 9eb13d9a678cd2e78da41563b7461887ce5997b6
- aa4672621f81f601882ad13f26d37dc8218bb06a
- aa8be80db30c4f5a49c3e75254ef6d0101c37987
- ab8d480c090ab8be0cdb0ff5bc0f59972845b125
- ac265c12a4f08378e2519e290b0c45a1adc7156f
- afb7b010bafb9f7faf2b528f128ff24da94e0190
- b3559eeac9a9caa840cc96980fe0bbd1c7da37d3
- b8dc12cc600aced9d34c463c5bf5edb53db605fb
- c0184407dcbec911a325d41e9a9ef1dbed524fe5
- c2f51b44e26e4aca40beb887ac4d36f3e091e26a
- c3464926cf2075595c77dc5b3fbcf1f014c8046b
- ceda47dd1aacc515d8bdda04299ab1ebf1ba0d73
- e663e24fc6aadbaae5bbf722a84097a6127f4066
- e786fc1fdfcb7be28650383eb33cdf6c90f1d033
- ebdc60f33d22c4256ca6ab4058059db1d618ec11
- ec5b2efe8eadfac7ceca545e25f06240bbf16960
- ece7e6727d2daa254e4d4a6be62744d6f3a2a2ef
- f4ef68d3d2b58a58a82e00ebeaaed556e03328af
- f5af939480fc86a086bc589047444b1c448ebb09
- fc0479a3d1188384613f437f28e28614a6118e94
- fc08c15dfd6074d80e1f8d777fb49f8c14b4af20
- fd3375553dda2347c0b383d8e800bfe4f93d3af0
- fd5228889cd12f343236f7d51c98fab4db6c4763