Toolkit modular baru yang disebut ‘AlienFox’ memungkinkan pelaku ancaman memindai server yang salah konfigurasi untuk mencuri rahasia autentikasi dan kredensial untuk layanan email berbasis cloud.
Toolkit ini dijual ke penjahat dunia maya melalui saluran Telegram pribadi, yang telah menjadi corong khas untuk transaksi antara pembuat malware dan peretas.
Peneliti di SentinelLab yang menganalisis laporan AlienFox bahwa kumpulan alat menargetkan kesalahan konfigurasi umum dalam layanan populer seperti kerangka kerja hosting online, seperti Laravel, Drupal, Joomla, Magento, Opencart, Prestashop, dan WordPress.
Analis telah mengidentifikasi tiga versi AlienFox, yang menunjukkan bahwa pembuat toolkit secara aktif mengembangkan dan meningkatkan alat berbahaya tersebut.
AlienFox menargetkan rahasia Anda
AlienFox adalah kumpulan alat modular yang terdiri dari berbagai alat khusus dan utilitas sumber terbuka yang dimodifikasi yang dibuat oleh penulis yang berbeda.
Pelaku ancaman menggunakan AlienFox untuk mengumpulkan daftar titik akhir cloud yang salah konfigurasi dari platform pemindaian keamanan seperti LeakIX dan SecurityTrails.
Kemudian, AlienFox menggunakan skrip ekstraksi data untuk mencari server yang salah konfigurasi untuk file konfigurasi sensitif yang biasa digunakan untuk menyimpan rahasia, seperti kunci API, kredensial akun, dan token autentikasi.
Rahasia yang ditargetkan adalah untuk platform email berbasis cloud, termasuk 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra, dan Zoho.
Toolkit ini juga menyertakan skrip terpisah untuk menetapkan kegigihan dan meningkatkan hak istimewa pada server yang rentan.
Perangkat yang berkembang
SentinelLabs melaporkan bahwa versi paling awal yang ditemukan di alam liar adalah AlienFox v2, yang berfokus pada konfigurasi server web dan ekstraksi file lingkungan.
Selanjutnya, malware mem-parsing file untuk kredensial dan mengujinya di server yang ditargetkan, mencoba SSH menggunakan pustaka Paramiko Python.
AlienFox v2 juga berisi skrip (awses.py) yang mengotomatiskan pengiriman dan penerimaan pesan di AWS SES (Layanan Email Sederhana) dan menerapkan persistensi hak istimewa yang ditingkatkan ke akun AWS pelaku ancaman.
Terakhir, versi kedua dari AlienFox menampilkan eksploit untuk CVE-2022-31279, kerentanan deserialisasi pada Laravel PHP Framework.
AlienFox v3 membawa kunci otomatis dan ekstraksi rahasia dari lingkungan Laravel, sementara data yang dicuri sekarang menampilkan tag yang menunjukkan metode pemanenan yang digunakan.
Terutama, versi ketiga kit memperkenalkan kinerja yang lebih baik, sekarang menampilkan variabel inisialisasi, kelas Python dengan fungsi modular, dan proses threading.
Versi terbaru AlienFox adalah v4, yang menampilkan organisasi kode dan skrip yang lebih baik serta perluasan cakupan penargetan.
Lebih khusus lagi, versi keempat malware telah menambahkan penargetan WordPress, Joomla, Drupal, Prestashop, Magento, dan Opencart, pemeriksa akun situs ritel Amazon.com, dan pemecah benih dompet cryptocurrency otomatis untuk Bitcoin dan Ethereum.
Skrip “pembobol dompet” baru menunjukkan bahwa pengembang AlienFox ingin memperluas klien untuk perangkat atau memperkaya kemampuannya untuk mengamankan perpanjangan langganan dari pelanggan yang sudah ada.
Untuk melindungi dari ancaman yang berkembang ini, admin harus memastikan bahwa konfigurasi server mereka diatur dengan kontrol akses yang tepat, izin file, dan penghapusan layanan yang tidak diperlukan.
Selain itu, menerapkan MFA (multi-factor authentication) dan memantau aktivitas yang tidak biasa atau mencurigakan pada akun dapat membantu menghentikan intrusi lebih awal.
