マルチライセンス割引
Threat Database Malware AlienFox

AlienFox

MalwareMezoまで
翻訳内容:
日本語

情報セキュリティの研究者によると、AlienFox という名前の新しいツールセットが現在、人気のあるメッセージング アプリである Telegram 経由で配布されています。このツールセットは、攻撃者が API キーから認証情報を収集したり、さまざまなクラウド サービス プロバイダーから機密データを収集したりできるように設計されています。

SentinelOne のサイバーセキュリティの専門家によってリリースされたレポートは、AlienFox が高度にモジュール化されたマルウェアであり、新しい機能とパフォーマンスの向上によって継続的に進化していることを明らかにしています。脅威アクターは AlienFox を使用して、公開されたサービスまたは不適切に構成されたサービスからサービス資格情報を識別および収集します。被害者がこのような攻撃の犠牲になった場合、サービス コストの増加、顧客の信頼の喪失、修復コストなど、いくつかの結果につながる可能性があります。

さらに、AlienFox の最新バージョンには、盗まれた資格情報を使用して悪意のある操作を自動化できる一連のスクリプトが含まれているため、さらなる犯罪活動への扉を開くこともできます。たとえば、持続性の確立を可能にするスクリプトがあります。これは、攻撃者が、再起動または更新の後でも侵害されたシステムの制御を維持できることを意味します。同じスクリプトが AWS アカウントでの権限昇格も容易にするため、攻撃者はより優れたアクセスと制御を得ることができます。

さらに、AlienFox に含まれるスクリプトの 1 つは、被害者のアカウントやサービスを通じてスパム キャンペーンを自動化できるため、被害者の評判に重大な損害を与え、追加の金銭的損失につながります。全体として、サイバー犯罪者による AlienFox の使用が、被害者に深刻で長期にわたる影響を与える可能性があることは明らかです。

AlienFox が誤って構成されたホストを特定

AlienFox は、攻撃者が LeakIX や SecurityTrails などのスキャン プラットフォームを介して構成ミスのあるホストのリストを収集するために使用するツールです。脅威グループは、悪意のある操作で Cobalt Strike などの正当なセキュリティ製品を使用する傾向があるため、これが脅威グループの間でますます一般的な特性になっていることは注目に値します。

攻撃者が脆弱なサーバーを特定すると、AlienFox ツールキットのさまざまなスクリプトを使用して、Amazon Web Services や Microsoft Office 365 などのクラウド プラットフォームから機密情報を盗むことができます。さまざまな Web サービスであり、主にクラウドベースおよびサービスとしてのソフトウェア (SaaS) の電子メール ホスティング サービスを対象としています。

悪用される設定ミスの多くは、Laravel、Drupal、WordPress、OpenCart などの一般的な Web フレームワークに関連しています。 AlienFox スクリプトは、SecurityTrails や LeakIX などのオープンソース インテリジェンス プラットフォームに関しては、IP とサブネット、および Web API に対してブルート フォース テクニックを利用して、クラウド サービスをチェックし、ターゲットのリストを生成します。

脆弱なサーバーが特定されると、攻撃者が侵入して機密情報を抽出します。サイバー犯罪者は、AWS や Office 365、Google Workspace、Nexmo、Twilio、OneSignal など、12 を超えるクラウド サービスからトークンやその他の秘密情報を標的とするスクリプトを使用します。攻撃者による AlienFox の使用が、運用をクラウド サービスに依存している組織に重大な脅威をもたらす可能性があることは明らかです。

AlienFox マルウェアはまだ積極的に開発中です

これまでに、2022 年 2 月にさかのぼる AlienFox の 3 つのバージョンが特定されています。見つかったスクリプトの一部は、他の研究者によってマルウェア ファミリとしてタグ付けされていることは指摘しておく価値があります。

分析された SES 悪用ツールセットはそれぞれ、Laravel PHP フレームワークを使用するサーバーを標的にしていました。この事実は、Laravel が設定ミスや露出の影響を特に受けやすいことを示唆している可能性があります。

AlienFox v4 が他のものとは異なる構成になっていることに注意してください。たとえば、このバージョンの各ツールには、Tool1 や Tool2 などの数値識別子が割り当てられています。新しいツールの中には、開発者が新しいユーザーを引き付けようとしている、または既存のツールキットでできることを拡張しようとしていることが示唆されています。たとえば、あるツールは、Amazon の小売アカウントにリンクされた電子メール アドレスをチェックします。そのような電子メールが見つからない場合、スクリプトは電子メール アドレスを使用して新しい Amazon アカウントを作成します。別のツールは、ビットコインとイーサリアム専用の暗号通貨ウォレット シードを自動化します。

これらの調査結果は、進化を続ける AlienFox の性質とその高度化を浮き彫りにしています。組織は警戒を怠らず、そのような脅威からシステムを保護するために必要な対策を講じることが不可欠です。

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...