SentinelOne ontdekt kwaadaardige toolset

Aanvallers gebruiken AlienFox om API-keys en -geheimen te verzamelen van populaire cloudserviceproviders, waaronder AWS SES en Microsoft Office 365. Door middel van meerdere scripts in de toolset wordt gevoelige informatie, zoals API-keys en -geheimen, geëxtraheerd uit configuratiebestanden die op de webservers van de slachtoffers staan. De meeste tools zijn open-source, wat betekent dat aanvallers gemakkelijk wijzigingen kunnen aanbrengen zodat de tools aan hun behoeften voldoen.

De tooltechnieken en hoe ze zijn georganiseerd verschillen per versie. Tot nu toe heeft SentinelOne de AlienFox-versies 2 tot en met 4 geïdentificeerd, die dateren van februari 2022. Nieuwere versies van de toolset hebben scripts toegevoegd die kwaadaardige acties automatiseren met behulp van de gestolen inloggegevens, waaronder het opzetten van Amazon Web Services (AWS) account-persistence en het ophogen van privileges, maar ook het verzamelen van verzendquota en het automatiseren van spamcampagnes via slachtofferaccounts of -services.

De modulaire toolset wordt voornamelijk via Telegram gedistribueerd in de vorm van broncode-archieven. Sommige modules zijn beschikbaar op GitHub en kunnen door elke aanvaller worden gebruikt.

Lees hier de technische blog en hier het volledige Engelstalige rapport van SentinelLabs, met details over de distributie en targeting van AlienFox en een gedetailleerde analyse van de volledige toolset.