Un nouvel « ensemble d’outils complet » appelé AlienRenard est distribué sur Telegram comme un moyen pour les acteurs de la menace de récolter les informations d’identification à partir des clés API et des secrets des fournisseurs de services cloud populaires.
« La propagation d’AlienFox représente une tendance non signalée à attaquer des services cloud plus minimes, inadaptés à l’extraction de crypto, afin de permettre et d’étendre les campagnes ultérieures », a déclaré Alex Delamotte, chercheur en sécurité chez SentinelOne. a dit dans un rapport partagé avec The Hacker News.
La société de cybersécurité a qualifié le malware de hautement modulaire et en constante évolution pour s’adapter à de nouvelles fonctionnalités et à des améliorations de performances.
L’utilisation principale d’AlienFox est d’énumérer les hôtes mal configurés via des plates-formes d’analyse telles que FuiteIX et SecurityTrailspuis exploitez divers scripts de la boîte à outils pour extraire les informations d’identification des fichiers de configuration exposés sur les serveurs.
Plus précisément, cela implique de rechercher des serveurs sensibles associés à des frameworks Web populaires, notamment Laravel, Drupal, Joomla, Magento, Opencart, Prestashop et WordPress.
Les versions récentes de l’outil intègrent la possibilité d’établir la persistance sur un compte Amazon Web Services (AWS) et d’élever les privilèges, ainsi que d’automatiser les campagnes de spam via les comptes compromis.
Les attaques impliquant AlienFox seraient opportunistes, les scripts étant capables de collecter des données sensibles concernant AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Microsoft 365, Sendgrid, Twilio, Zimbra et Zoho.
Deux de ces scripts sont AndroxGh0st et GreenBotqui ont été précédemment documentés par Lacework et Permiso p0 Labs.
Alors qu’Androxgh0st est conçu pour analyser un fichier de configuration pour des variables spécifiques et extraire leurs valeurs pour un abus ultérieur, GreenBot (alias Maintenance) contient un « script de persistance AWS qui crée un nouveau compte administrateur et supprime le compte légitime piraté ».
Devenez un pro de la réponse aux incidents !
Découvrez les secrets d’une réponse aux incidents à toute épreuve – Maîtrisez le processus en 6 phases avec Asaf Perlman, le responsable IR de Cynet !
La maintenance intègre en outre des contrôles de licence, ce qui suggère que le script est proposé comme un outil commercial et la possibilité d’effectuer une reconnaissance sur le serveur Web.
SentinelOne a déclaré avoir identifié trois variantes différentes du malware (de la v2 à la v4) datant de février 2022. Une fonctionnalité notable d’AlienFoxV4 est sa capacité à vérifier si une adresse e-mail est déjà liée à un compte de vente au détail Amazon.com, et si ce n’est pas le cas. , créez un nouveau compte à l’aide de cette adresse.
Pour atténuer les menaces posées par AlienFox, il est recommandé aux organisations d’adhérer aux meilleures pratiques de gestion de la configuration et de suivre le principe du moindre privilège (PoLP).
« L’ensemble d’outils AlienFox démontre une autre étape dans l’évolution de la cybercriminalité dans le cloud », a déclaré Delamotte. « Pour les victimes, un compromis peut entraîner des coûts de service supplémentaires, une perte de confiance des clients et des coûts de remédiation. »
