기술 지원
문서
로그인
문의하기
클라우드 기반 이메일 서비스 자격 증명을 탈취하는 데 사용되는 AlienFox 툴세트
2023년 4월 12일 TuxCare 홍보팀
센티넬랩스에 따르면, 새로운 모듈형 툴킷인 AlienFox는 악의적인 공격자가 여러 클라우드 서비스 제공업체로부터 인증 정보를 수집할 수 있게 해줍니다. 이 툴셋은 판매용으로 제공되며, 주로 텔레그램에서 소스 코드 아카이브로 배포됩니다. 이 모듈은 공격자들이 필요에 따라 악성 코드를 커스터마이징할 수 있도록 깃허브(GitHub)에서도 제공됩니다.
AlienFox는 공격자가 AWS SES 및 Microsoft Office 365와 같은 인기 있는 서비스에서 API 키와 비밀을 수집할 수 있도록 합니다. 이 멀웨어는 라라벨, 드루팔, 줌라, 마젠토, 오픈카트, 프레스타샵, 워드프레스 등 인기 있는 웹 프레임워크를 실행하는 잘못 설정된 서버를 표적으로 삼습니다. 또한 1and1, AWS, 블루메일, 엑소텔, 구글 워크스페이스, 메일건, 맨드릴, 넥스모, 오피스365, 원시그널, 플리보, 센드그리드, 센딩블루, 스파크포스트메일, 톡박스, 트윌리오, 짐브라, 조호 등 인기 있는 클라우드 기반 이메일 플랫폼의 비밀번호를 공격할 수 있습니다.
가장 최신 버전인 AlienFox 버전 4는 이전 버전과 다른 구조를 보여줍니다. 워드프레스, 줌라, 드루팔, 프레스타샵, 마젠토, 오픈카트에 대한 타겟팅과 아마존닷컴 리테일 사이트 계정 검사기가 추가되었습니다. 최신 버전에는 비트코인과 이더리움의 암호화폐 지갑 시드를 각각 자동화하는 월렛 크래커 스크립트인 도구 19(BTC.py)와 20(ETH.py)도 포함되어 있습니다.
AlienFox의 확산은 크립토마이닝에 적합하지 않은 최소한의 클라우드 서비스를 공격하는 추세를 나타냅니다. 공격자는 AlienFox를 사용하여 잘못 구성되거나 노출된 서비스에서 서비스 자격 증명을 식별하고 수집합니다. AlienFox는 클라우드에서 사이버 범죄가 진화하는 또 다른 단계를 보여줍니다.
공격자들은 AlienFox를 사용하여 LeakIX 및 SecurityTrails를 포함한 보안 검색 플랫폼에서 잘못 구성된 호스트 목록을 수집합니다. 이들은 툴셋의 여러 스크립트를 사용하여 피해자의 웹 서버에 노출된 구성 파일에서 API 키 및 비밀과 같은 민감한 정보를 추출합니다.
이후 버전의 툴세트에는 도난당한 자격 증명을 사용하여 악의적인 작업을 자동화하는 스크립트가 추가되었는데, 여기에는 AWS(Amazon Web Services) 계정 지속성 및 권한 에스컬레이션 설정, 피해자 계정 또는 서비스를 통한 전송 할당량 수집 및 스팸 캠페인 자동화 등이 포함됩니다.
이 글의 출처는 SecurityAffairs의 기사입니다.
