AlienFox Toolset IOCs

security IOC

Компания SentinelLabs обнаружила новый инструментарий под названием AlienFox, который злоумышленники используют для взлома электронной почты и хостинговых служб. AlienFox имеет модульную структуру и регулярно развивается. Большинство инструментов имеют открытый исходный код, что означает, что злоумышленники могут легко адаптировать и модифицировать их в соответствии со своими потребностями. Многим разработчикам принадлежат заслуги в создании различных итераций инструментов. Эволюция повторяющихся функций говорит о том, что разработчики становятся все более изощренными, а в последних версиях на первый план выходят вопросы производительности.

Действующие лица используют AlienFox для сбора списков неправильно сконфигурированных хостов с платформ сканирования безопасности, включая LeakIX и SecurityTrails. Они используют многочисленные скрипты из набора инструментов для извлечения конфиденциальной информации, такой как ключи API и секреты, из конфигурационных файлов, открытых на веб-серверах жертв.

В более поздних версиях инструментария были добавлены сценарии, автоматизирующие вредоносные действия с использованием украденных учетных данных, в том числе:

  • создание постоянных учетных записей Amazon Web Services (AWS) и повышение привилегий.
  • сбор квот на отправку и автоматизация спам-кампаний через учетные записи или сервисы жертвы.

Краткое резюме

  • Злоумышленники используют AlienFox для сбора API-ключей и секретов популярных сервисов, включая AWS SES и Microsoft Office 365.
  • AlienFox - это модульный набор инструментов, распространяемый преимущественно в Telegram в виде архивов исходного кода. Некоторые модули доступны на GitHub для любого потенциального злоумышленника.
  • Распространение AlienFox представляет собой незарегистрированную тенденцию к атакам на более минимальные облачные сервисы, непригодные для криптомайнинга, с целью создания и расширения последующих кампаний.

Indicators of Compromise

URLs

  • https://rentry.co/3cii9/raw
  • https://rtvsmkqfa3clrvgj6f-9fd73c.ingress-daribow.easywp.com/wp-admin/v1/1.php

Emails

SHA1

  • 064734bc43ee2d83e8a275293d17fc925620bba1
  • 07289c56e65a98a85bc794374949aae98b819823
  • 0f1583b56dd02fc200c7dae0d3c9b32b4278846b
  • 15129436f5bab6c3eea9b2dfc4d0f0043438e013
  • 15ade0df5b4e6a82ceec429a2673fd1ed011eb93
  • 15aec55e56225700766d79b6fb9d212cced21951
  • 17592a2fdb8dae9c4c88f1fbf7e9c632129f98df
  • 23abd146befe761337e5155a116138acf81331d9
  • 25bbda606c72e81fac9abe76e0f00f9cd12770e4
  • 28de7d7fcd18471f53737fd8a3df3a23a34cf758
  • 329328dc57acece8c47ab5c73f7b9c7e4e09981a
  • 3cb5b4182ef6e8174f87c8ed3551f91b72c47370
  • 3ddb8dc53b6151ea036db3d2a5f34e5f5b39e044
  • 40df29a738fd5cab0face169d8a8426dff7d2d10
  • 41a2cab42a08adf93b5ada1eafb75d5b4f496853
  • 4266bdb139ae6d22ddf98501cc3af280aa488b42
  • 45a0675088afdcf2ec059510fc2a4905957c2a69
  • 48afb7ac8fdf6a8da47601806a8028c61dad2eb7
  • 4ab401d4c490460fd457151f643b5ec7e594cd41
  • 5c9993e5d7468551c60e6dab488eccea7f4ef007
  • 74c4cfa0edae5e87001c901214789cb0f0087031
  • 7848e53133f4470c29e33ee6dd87f8f326c5fa38
  • 7d7bad6282531521b9103817a38bff3a34b89428
  • 894fd799168f9ff11e74ee37d5bec35387feef24
  • 8e6e18ba7e251d31b46d17535010a8c583345b23
  • 9381c30e29089639249e67b62f61c6df4869c6c1
  • 959e377131762ccb879c36c53e3b71473d3b72fd
  • 9eb13d9a678cd2e78da41563b7461887ce5997b6
  • aa4672621f81f601882ad13f26d37dc8218bb06a
  • aa8be80db30c4f5a49c3e75254ef6d0101c37987
  • ab8d480c090ab8be0cdb0ff5bc0f59972845b125
  • ac265c12a4f08378e2519e290b0c45a1adc7156f
  • afb7b010bafb9f7faf2b528f128ff24da94e0190
  • b3559eeac9a9caa840cc96980fe0bbd1c7da37d3
  • b8dc12cc600aced9d34c463c5bf5edb53db605fb
  • c0184407dcbec911a325d41e9a9ef1dbed524fe5
  • c2f51b44e26e4aca40beb887ac4d36f3e091e26a
  • c3464926cf2075595c77dc5b3fbcf1f014c8046b
  • ceda47dd1aacc515d8bdda04299ab1ebf1ba0d73
  • e663e24fc6aadbaae5bbf722a84097a6127f4066
  • e786fc1fdfcb7be28650383eb33cdf6c90f1d033
  • ebdc60f33d22c4256ca6ab4058059db1d618ec11
  • ec5b2efe8eadfac7ceca545e25f06240bbf16960
  • ece7e6727d2daa254e4d4a6be62744d6f3a2a2ef
  • f4ef68d3d2b58a58a82e00ebeaaed556e03328af
  • f5af939480fc86a086bc589047444b1c448ebb09
  • fc0479a3d1188384613f437f28e28614a6118e94
  • fc08c15dfd6074d80e1f8d777fb49f8c14b4af20
  • fd3375553dda2347c0b383d8e800bfe4f93d3af0
  • fd5228889cd12f343236f7d51c98fab4db6c4763

Technical report

Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий