模块化AlienFox工具包用于窃取云服务凭证

SentinelOne的安全专家发现并分析了一个新的恶意软件工具集。该工具包被团队称为AlienFox，可以获取多个云服务提供商的凭据。

SentinelOne威胁研究员Alex Delamotte发布的一份报告显示，攻击者使用AlienFox成功地从各种服务中获取API密钥和秘密，包括亚马逊网络服务(AWS)简单电子邮件服务(SES)和微软Office 365。

Delamotte解释道：“AlienFox是一个模块化工具集，主要以源代码归档的形式分布在Telegram上。一些模块可以在GitHub上使用，任何潜在的攻击者都可以采用。”

其中许多模块都是开源的，因此威胁行为者可以根据自己的需要对其进行调整和修改。

Delamotte写道:“反复出现的功能的演变表明，开发人员正变得越来越成熟，在最近的版本中，性能考虑处于最前沿。”

使用AlienFox的威胁行为者使用该工具包从几个安全扫描平台(如LeakIX和SecurityTrails)编译错误配置的主机列表。

SentinelOne的报告写道：“他们使用工具集中的多个脚本，从受害者网络服务器上暴露的配置文件中提取敏感信息，如API密钥和机密。”

此外，该团队观察到的一些最新变体采用了新的脚本，这些脚本使用被盗的凭据自动执行恶意操作。

Delamotte表示，AlienFox的传播代表了一种新的趋势，即攻击更小的云服务(不适合加密挖掘)，然后启用和扩展后续活动。

Delamotte补充道：“机会主义的云攻击不再局限于加密挖矿。AlienFox工具促进了对缺乏挖矿所需资源的最小服务的攻击。对于受害者来说，(服务凭证)泄露可能会导致额外的服务成本、客户信任的损失和补救成本。”

就在SentinelOne的调查结果公布的几天前，微软表示，只有1%的云权限被积极使用，这可能会导致严重的安全风险。