新的AlienFox工具包可获取数十种云服务的凭证

据SentinelLabs报道，AlienFox是一种新颖的综合工具集，用于为多个云服务提供商收集凭证。

AlienFox是一个新的模块化工具包，它允许威胁参与者获取多个云服务提供商的凭据。

AlienFox可供出售，主要以源代码存档的形式在Telegram上分发。GitHub上提供了一些模块，允许威胁行为者自定义他们的恶意代码以满足他们的需要。

AlienFox允许其运营商从AWS SES和Microsoft Office 365等流行服务中获取API密钥和秘密。

“SentinelLabs已经确定了一个名为AlienFox的新工具包，攻击者正在使用它来破坏电子邮件和网络托管服务。AlienFox是高度模块化的，并且有规律地发展。大多数工具都是开源的，这意味着参与者可以很容易地进行调整和修改以满足他们的需求。许多开发人员将这些工具的不同迭代归功于他们。”“重复出现的功能的演变表明开发人员变得越来越成熟，在最新版本中性能考虑处于最前沿。”

AlienFox针对运行流行Web框架（包括Laravel、Drupal、Joomla、Magento、Opencart、Prestashop和WordPress）的配置错误的服务器。AlienFox通过LeakIX和SecurityTrails等安全扫描平台收集配置错误的云端点列表。

该恶意软件能够针对流行的基于云的电子邮件平台的秘密，包括1and1、AWS、Bluemail、Exotel、Google Workspace、Mailgun、Mandrill、Nexmo、Office365、OneSignal、Plivo、Sendgrid、Sendinblue、Sparkpostmail、Tokbox、Twilio、Zimbra和Zoho。

研究人员分析了从2022年2月开始的AlienFox版本2到4。

该工具集最古老的变种版本2主要侧重于从Web服务器配置或环境文件中提取凭据。版本3.x包含第一个观察到的脚本 Lar.py版本，它允许从受损的Laravel .env文件中自动提取密钥和秘密。版本3.x将结果连同目标服务器详细信息记录到一个文本文件中。

AlienFox的最新版本4，显示了一个完全不同的结构，它添加了WordPress、Joomla、Drupal、Prestashop、Magento和 Opencart targeting，一个Amazon.com零售网站帐户检查器。

“最新的已知工具集，该集的组织方式大不相同，每个工具都分配了一个数字标识符（例如，工具1、工具2）。AlienFox 根目录中有一个名为的核心脚本ALIENFOXV4.py ，用作子文件夹中编号工具脚本的引导程序。”“工具5、6、7和8收集目标列表，其他工具检查目标是否配置错误或暴露。”

最新版本还包括“Wallet Cracker”脚本、工具19(BTC.py) 和20(ETH.py)，它们分别为比特币和以太坊自动生成加密货币钱包种子。

“AlienFox工具集展示了云中网络犯罪演变的另一个阶段。”“机会性云攻击不再局限于加密挖矿：AlienFox工具有助于攻击缺乏挖矿所需资源的最小服务。通过分析工具和工具输出，我们发现攻击者使用AlienFox从错误配置或暴露的服务中识别和收集服务凭证。“

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5503.html