AlienFox bulut sistemlerini hedef alarak, API anahtarlarını ele geçirebiliyor. AlienFox ‘un sürekli güncellenmesi, tespitini zorlaştırıyor.
SentinelLabs araştırmacıları, siber suçluların e-posta ve web barındırma hizmetlerini ihlal etmek için kullandıkları yeni bir araç seti tespit etti.
AlienFox adlı kötü amaçlı yazılım araç seti, “yüksek modüler” olarak tanımlanıyor ve düzenli olarak güncelleniyor. SentinelLabs’in raporuna göre bilgisayar korsanları, AlienFox bulut platformlarındaki yanlış yapılandırılmış ana bilgisayarları tehlikeye atmak ve hassas verileri çalmak için kullanılabiliyor.
SentinelLabs raporundan detaylar
Araştırmacılar raporda: “AlienFox araçları, madencilik için gerekli kaynaklara sahip olmayan minimum hizmetlere yönelik saldırıları kolaylaştırıyor” dedi. Raporda: “Araçları ve araç çıktısını analiz ederek, aktörlerin yanlış yapılandırılmış veya açığa çıkmış hizmetlerden hizmet kimlik bilgilerini belirlemek ve toplamak için AlienFox’u kullandığını bulduk. Uzlaşma, kurbanlar için ek hizmet maliyetlerine, müşteri güveninin kaybına ve düzeltme maliyetlerine yol açabilir” ifadeleri kullanıldı.
Araç seti, yanlış yapılandırılmış ana bilgisayarların bir listesini oluşturmak için LeakIX veya SecurityTrails gibi güvenlik tarama platformlarını kullanıyor. Araştırmacılar, daha sonra API anahtarları gibi hassas bilgileri yapılandırma dosyalarından çekmek için birden çok komut dosyası kullanıyor. Rapor için analiz edilen sürümlerden bazıları, kurban hesapları ve hizmetleri aracılığıyla AWS hesap kalıcılığı oluşturup ayrıcalıkları yükseltmeyi, gönderme kotalarını toplamayı ve spam kampanyalarını otomatikleştirmeyi başardı.
SentinelLabs, AlienFox ile fırsatçı bulut saldırılarının artık kripto madenciliği ile sınırlı olmadığını iddia ediyor. Araştırmacılar, “Kurbanlar için uzlaşma, ek hizmet maliyetlerine, müşteri güveninde kayba ve düzeltme maliyetlerine yol açabilir” sonucuna vardı.
