Toolkit zur Kompromittierung von E-Mail- und Webhosting-Diensten

Das AlienFox-Toolset zeigt eine weitere Stufe in der Entwicklung der Internetkriminalität in der Cloud. Cloud-Dienste verfügen über gut dokumentierte, leistungsstarke APIs, die es Entwicklern aller Qualifikationsstufen ermöglichen, problemlos Tools für den Dienst zu schreiben. Das Toolset wurde nach und nach durch verbesserte Codierungspraktiken und die Hinzufügung neuer Module und Funktionen verbessert.

Opportunistische Cloud-Angriffe sind nicht mehr nur auf Kryptomining beschränkt: Die AlienFox-Tools erleichtern Angriffe auf minimale Dienste, die nicht über die für das Mining erforderlichen Ressourcen verfügen. Bei der Analyse der Tools und der Tool-Ausgaben konnte festgestellt werden, dass die Akteure AlienFox verwenden, um Dienstanmeldeinformationen von falsch konfigurierten oder ungeschützten Diensten zu identifizieren und zu sammeln. Für die Opfer kann eine Kompromittierung zu zusätzlichen Servicekosten, Vertrauensverlust bei den Kunden und Kosten für die Behebung des Problems führen.

Extraktion von sensiblen Informationen

Die Akteure verwenden AlienFox, um Listen von falsch konfigurierten Hosts von Sicherheitsscan-Plattformen wie LeakIX und SecurityTrails zu sammeln. Sie verwenden mehrere Skripte im Toolset, um sensible Informationen wie API-Schlüssel und Geheimnisse aus Konfigurationsdateien zu extrahieren, die auf den Webservern der Opfer liegen.

Spätere Versionen des Toolsets fügten Skripte hinzu, wodurch diese Aktionen unter Verwendung der gestohlenen Anmeldedaten automatisiert werden, darunter das Einrichten von Amazon Web Services (AWS)-Kontenpersistenz und Privilegieneskalatio sowie das Sammeln von Sendequoten und Automatisieren von Spam-Kampagnen über Opferkonten oder -dienste.

Akteure nutzen Server-Fehlkonfigurationen

Es handelt sich dabei um eine Kombination von Tools, die auf eine Vielzahl von Webdiensten abzielen, obwohl das übergreifenden Themen für das Toolset Cloud-basierte und Software-as-a-Service (SaaS) E-Mail-Hosting-Dienste sind. Die aktuellen Beobachtungen deuten darauf hin, dass AlienFox in erster Linie opportunistisch vorgeht. Die Akteure nutzen Server-Fehlkonfigurationen im Zusammenhang mit beliebten Web-Frameworks, darunter Laravel, Drupal, Joomla, Magento, Opencart, Prestashop und WordPress.

Wenn ein anfälliger Server identifiziert wird, analysiert der Akteur die offengelegten Umgebungs- oder Konfigurationsdateien, in denen sensible Informationen wie aktivierte Dienste und die zugehörigen API-Schlüssel und Geheimnisse gespeichert sind. Die Sicherheitsforscher fanden Skripte auf Token und Geheimnisse unter anderem von 1und1, AWS SES, Google Workspace oder Microsoft 365.

Die Techniken des Tools und ihre Organisation sind von Version zu Version unterschiedlich. Bislang wurden die AlienFox-Versionen 2 bis 4 identifiziert, die ab Februar 2022 datiert sind. Mehrere analysierte Skripte wurden zu den Malware-Familien Androxgh0st und GreenBot (alias Maintance) zusammengefasst. Wie feststellt werden konnte, sind die Skripte in offenen Quellen wie GitHub leicht verfügbar, was eine ständige Anpassung und Variation in freier Wildbahn ermöglicht.

AlienFox V2 konzertieret sich auf Anmeldeinfos

Version 2 ist das älteste der bekannten AlienFox-Toolsets und konzentriert sich in erster Linie auf die Extraktion von Anmeldeinformationen aus Webserver-Konfigurations- oder Umgebungsdateien. Das von SentinelLabs  analysierte Archiv enthält die Ausgaben eines Akteurs, der die Tools ausgeführt hat, darunter AWS-Zugangs- und Geheimschlüssel. In dieser Version des AlienFox-Toolsets ist das Kerndienstprogramm in einem Skript namens s3lr.py untergebracht, das dem in späteren Versionen beschriebenen env.py ähnlich ist.

Um sich gegen AlienFox-Tools zu schützen, sollten Unternehmen bewährte Verfahren für die Konfigurationsverwaltung anwenden und das Prinzip der geringsten Privilegien einhalten. Der Einsatz einer Cloud Workload Protection Platform (CWPP) auf virtuellen Maschinen und Containern sollte in Betracht gezogen werden, um interaktive Aktivitäten mit dem Betriebssystem zu erkennen.

Da Aktivitäten wie Brute-Force- oder Passwort-Spray-Versuche von bestimmten Dienstanbietern möglicherweise nicht protokolliert werden, wird die Überwachung von Folgeaktionen, einschließlich der Erstellung neuer Konten oder Dienstprofile, empfohlen – insbesondere solcher mit hohen Berechtigungen. Zudem sollten auf Plattformen der Unternehmen, die neu hinzugefügte E-Mail-Adressen überprüft werden.