SentinelOne发现了一个名为AlienFox的恶意软件工具集,它被用于从AWS和Office365等云服务中窃取API密钥和秘密。这个模块化的开源工具在Telegram和GitHub上分发,允许攻击者自定义其功能。AlienFox利用错误配置的主机列表,从受害者的服务器中提取敏感信息,并且其使用表明攻击者开始转向针对不适合加密挖矿的小型云服务进行攻击。
SentinelOne的安全专家发现并分析了一个新的恶意软件工具集。该工具包被团队称为AlienFox,可以获取多个云服务提供商的凭据。
SentinelOne威胁研究员Alex Delamotte发布的一份报告显示,攻击者使用AlienFox成功地从各种服务中获取API密钥和秘密,包括亚马逊网络服务(AWS)简单电子邮件服务(SES)和微软Office 365。
Delamotte解释道:“AlienFox是一个模块化工具集,主要以源代码归档的形式分布在Telegram上。一些模块可以在GitHub上使用,任何潜在的攻击者都可以采用。”
其中许多模块都是开源的,因此威胁行为者可以根据自己的需要对其进行调整和修改。
Delamotte写道:“反复出现的功能的演变表明,开发人员正变得越来越成熟,在最近的版本中,性能考虑处于最前沿。”
使用AlienFox的威胁行为者使用该工具包从几个安全扫描平台(如LeakIX和SecurityTrails)编译错误配置的主机列表。
SentinelOne的报告写道:“他们使用工具集中的多个脚本,从受害者网络服务器上暴露的配置文件中提取敏感信息,如API密钥和机密。”
此外,该团队观察到的一些最新变体采用了新的脚本,这些脚本使用被盗的凭据自动执行恶意操作。
Delamotte表示,AlienFox的传播代表了一种新的趋势,即攻击更小的云服务(不适合加密挖掘),然后启用和扩展后续活动。
Delamotte补充道:“机会主义的云攻击不再局限于加密挖矿。AlienFox工具促进了对缺乏挖矿所需资源的最小服务的攻击。对于受害者来说,(服务凭证)泄露可能会导致额外的服务成本、客户信任的损失和补救成本。”
就在SentinelOne的调查结果公布的几天前,微软表示,只有1%的云权限被积极使用,这可能会导致严重的安全风险。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
