Une nouvelle boîte à outils modulaire appelée « AlienFox » permet aux acteurs de la menace de rechercher des serveurs mal configurés pour voler des secrets d’authentification et des informations d’identification pour les services de messagerie basés sur le cloud.
La boîte à outils est vendue aux cybercriminels via un canal Telegram privé, qui est devenu un entonnoir typique pour les transactions entre les auteurs de logiciels malveillants et les pirates.
Les chercheurs de SentinelLabs qui ont analysé AlienFox rapportent que l’ensemble d’outils cible les erreurs de configuration courantes dans les services populaires tels que les cadres d’hébergement en ligne, tels que Laravel, Drupal, Joomla, Magento, Opencart, Prestashop et WordPress.
Les analystes ont identifié trois versions d’AlienFox, indiquant que l’auteur de la boîte à outils développe et améliore activement l’outil malveillant.
AlienFox cible vos secrets
AlienFox est un ensemble d’outils modulaire comprenant divers outils personnalisés et des utilitaires open source modifiés créés par différents auteurs.
Les acteurs de la menace utilisent AlienFox pour collecter des listes de terminaux cloud mal configurés à partir de plates-formes d’analyse de sécurité telles que LeakIX et SecurityTrails.
Ensuite, AlienFox utilise des scripts d’extraction de données pour rechercher sur les serveurs mal configurés des fichiers de configuration sensibles couramment utilisés pour stocker des secrets, tels que des clés API, des informations d’identification de compte et des jetons d’authentification.
Les secrets ciblés concernent les plates-formes de messagerie basées sur le cloud, notamment 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra et Zoho.
La boîte à outils comprend également des scripts distincts pour établir la persistance et élever les privilèges sur les serveurs vulnérables.
Un ensemble d’outils en évolution
SentinelLabs rapporte que la première version trouvée dans la nature est AlienFox v2, qui se concentre sur la configuration du serveur Web et l’extraction des fichiers d’environnement.
Ensuite, le logiciel malveillant analyse les fichiers pour les informations d’identification et les teste sur le serveur ciblé, en essayant de se connecter en SSH à l’aide de la bibliothèque Paramiko Python.
AlienFox v2 contient également un script (awses.py) qui automatise l’envoi et la réception de messages sur AWS SES (Simple Email Services) et applique une persistance élevée des privilèges au compte AWS de l’auteur de la menace.
Enfin, la deuxième version d’AlienFox comporte un exploit pour CVE-2022-31279, une vulnérabilité de désérialisation sur Laravel PHP Framework.
AlienFox v3 a apporté une extraction automatisée des clés et des secrets des environnements Laravel, tandis que les données volées comportaient désormais des balises indiquant la méthode de récolte utilisée.
Plus particulièrement, la troisième version du kit a introduit de meilleures performances, avec désormais des variables d’initialisation, des classes Python avec des fonctions modulaires et le threading de processus.
La version la plus récente d’AlienFox est la v4, qui offre une meilleure organisation du code et des scripts et une extension de la portée du ciblage.
Plus précisément, la quatrième version du malware a ajouté le ciblage WordPress, Joomla, Drupal, Prestashop, Magento et Opencart, un vérificateur de compte de site de vente au détail Amazon.com et un craqueur automatisé de graines de portefeuille de crypto-monnaie pour Bitcoin et Ethereum.
Les nouveaux scripts de « wallet cracking » indiquent que le développeur d’AlienFox souhaite élargir la clientèle de l’ensemble d’outils ou enrichir ses capacités pour sécuriser les renouvellements d’abonnement des clients existants.
Pour se protéger contre cette menace en constante évolution, les administrateurs doivent s’assurer que la configuration de leur serveur est définie avec les contrôles d’accès, les autorisations de fichiers et la suppression des services inutiles appropriés.
De plus, la mise en œuvre de MFA (authentification multifacteur) et la surveillance de toute activité inhabituelle ou suspecte sur les comptes peuvent aider à arrêter les intrusions plus tôt.