Forscher von SentinelLabs haben eine Reihe neuer Tools entdeckt, die Cyberkriminelle verwenden, um in E-Mail- und Webhosting-Dienste einzudringen (wird in einem neuen Tab geöffnet).
Das Malware-Toolset mit dem Namen „AlienFox“ wird als „hochmodular“ beschrieben und erhält regelmäßige Updates. Die meisten Tools im Kit sind Open Source, und mit der Geschwindigkeit, mit der sie aktualisiert werden, kamen die Forscher zu dem Schluss, dass Entwickler „immer ausgefeilter“ werden.
Laut dem SentinelLabs-Bericht verwenden Hacker AlienFox in Telegram-Gruppen und behaupten, dass es verwendet werden kann, um falsch konfigurierte Hosts auf Cloud-Plattformen zu kompromittieren und sensible Daten zu stehlen.
Missbrauch von Digitalisierungsplattformen
„AlienFox-Tools erleichtern Angriffe auf minimale Dienste, denen die für das Mining erforderlichen Ressourcen fehlen“, sagten die Forscher in ihrem Bericht. „Durch die Analyse der Tools und der Ergebnisse der Tools haben wir herausgefunden, dass Akteure AlienFox verwenden, um Dienstanmeldeinformationen von falsch konfigurierten oder offengelegten Diensten, zusätzlichen Diensten, Verlust des Kundenvertrauens und Behebungskosten zu identifizieren und zu sammeln.“
Um eine Liste falsch konfigurierter Hosts zu erstellen, verwendet das Toolkit Sicherheitsanalyseplattformen wie LeakIX oder SecurityTrails. Anschließend werden verschiedene Skripte verwendet, um vertrauliche Informationen wie API-Schlüssel und Geheimnisse aus Konfigurationsdateien zu extrahieren, erklärten die Forscher. Einige der für den Bericht analysierten Versionen waren in der Lage, die Persistenz von AWS-Konten zu etablieren und Berechtigungen zu erhöhen sowie Sendekontingente zu sammeln und Spam-Kampagnen über Opferkonten und -dienste hinweg zu automatisieren.
Bisher beschränkten sich Angriffe auf Cloud-basierte Dienste hauptsächlich auf Cryptominer. Bedrohungsakteure würden kompromittierte Cloud-Server verwenden, um XMRig oder ähnliche Kryptowährungs-Miner auszuführen und Token zu generieren, ohne für Strom, Internet oder Rechenleistung bezahlen zu müssen. Mit AlienFox, so SentinelLabs, beschränken sich opportunistische Angriffe in der Cloud nicht mehr auf Kryptomining.
„Für die Opfer kann eine Kompromittierung zu zusätzlichen Servicekosten, Verlust des Kundenvertrauens und Behebungskosten führen“, folgerten die Forscher.
Über: Die Registrierung (Öffnet in einem neuen Tab)