يتم توزيع "مجموعة أدوات شاملة" جديدة تسمى AlienFox على Telegram كطريقة لممثلي التهديد للحصول على بيانات الاعتماد من مفاتيح API والأسرار من موفري الخدمات السحابية المشهورين.
قال أليكس ديلاموت ، الباحث الأمني في SentinelOne ، في تقرير تمت مشاركته مع The Hacker News: "يمثل انتشار برنامج AlienFox اتجاهًا غير معلن عنه نحو مهاجمة الحد الأدنى من الخدمات السحابية ، غير المناسبة لتعدين العملات الرقمية ، من أجل تمكين وتوسيع الحملات اللاحقة".
وصفت شركة الأمن السيبراني البرامج الضارة بأنها معيارية للغاية وتتطور باستمرار لاستيعاب الميزات الجديدة وتحسينات الأداء.
يتمثل الاستخدام الأساسي لبرنامج AlienFox في تعداد المضيفات التي تم تكوينها بشكل خاطئ عبر منصات المسح مثل LeakIX و SecurityTrails ، وبالتالي الاستفادة من البرامج النصية المختلفة في مجموعة الأدوات لاستخراج بيانات الاعتماد من ملفات التكوين المعروضة على الخوادم.
على وجه التحديد ، يستلزم البحث عن خوادم حساسة مرتبطة بأطر الويب الشائعة ، بما في ذلك Laravel و Drupal و Joomla و Magento و Opencart و Prestashop و WordPress.
تتضمن الإصدارات الحديثة من الأداة القدرة على إثبات الثبات على حساب Amazon Web Services (AWS) وتصعيد الامتيازات بالإضافة إلى أتمتة حملات البريد العشوائي من خلال الحسابات المخترقة.
يُقال إن الهجمات التي تنطوي على برنامج AlienFox انتهازية ، حيث أن البرامج النصية قادرة على جمع البيانات الحساسة المتعلقة بـ AWS و Bluemail و Exotel و Google Workspace و Mailgun و Mandrill و Microsoft 365 و Sendgrid و Twilio و Zimbra و Zoho.
اثنان من هذه البرامج النصية هما AndroxGh0st و GreenBot ، اللذان تم توثيقهما مسبقًا بواسطة Lacework و Permiso p0 Labs.
بينما تم تصميم Androxgh0st لتحليل ملف التكوين لمتغيرات معينة واستخراج قيمها لمتابعة إساءة الاستخدام ، فإن GreenBot (المعروف أيضًا باسم Maintance) يحتوي على "برنامج نصي دائم من AWS يقوم بإنشاء حساب مسؤول جديد ويحذف الحساب الشرعي الذي تم الاستيلاء عليه".
يشتمل Maintance أيضًا على فحوصات الترخيص ، مما يشير إلى أن البرنامج النصي يتم تقديمه كأداة تجارية ، والقدرة على إجراء الاستطلاع على خادم الويب.
قالت SentinelOne إنها حددت ثلاثة أنواع مختلفة من البرامج الضارة (من الإصدار 2 إلى الإصدار 4) التي يعود تاريخها إلى فبراير 2022. وتتمثل إحدى الوظائف البارزة لبرنامج AlienFoxV4 في قدرته على التحقق مما إذا كان عنوان البريد الإلكتروني مرتبطًا بالفعل بحساب التجزئة في Amazon.com ، وإذا لم يكن كذلك ، قم بإنشاء حساب جديد باستخدام هذا العنوان.
للتخفيف من التهديدات التي يشكلها برنامج AlienFox ، يُنصح المؤسسات بالالتزام بأفضل ممارسات إدارة التكوين واتباع مبدأ الامتياز الأقل (PoLP).
قال ديلاموت: "تُظهر مجموعة أدوات AlienFox مرحلة أخرى في تطور الجرائم الإلكترونية في السحابة". "بالنسبة للضحايا ، يمكن أن تؤدي الحلول الوسط إلى تكاليف خدمة إضافية وخسارة ثقة العملاء وتكاليف الإصلاح".