AlienFox: 一种新型工具集引发的网络安全警报

关键要点

• AlienFox 是一种全面的工具集，能够从多达18个云服务提供商中获取凭据。
• 利用 Telegram 分发，部分模块已在 GitHub 上可用。
• 攻击者通过自动化手段利用云服务的常见配置错误进行攻击。
• 专家建议组织定期测试和审计服务器以增强安全性。

最近发现了一个名为“AlienFox”的全面工具集，它能够从多达18个云服务提供商中窃取凭据。根据 SentinelLabs在3月30日的，该威胁行为者使用 AlienFox 来收集许多主要云服务提供商的 API 密钥和机密信息，包括
AWS 简单邮件服务、Google Workspace、Microsoft Office 365、Twilio、Zimbra 和 Zoho。

研究人员指出，攻击者通过 Telegram 以源代码压缩包的形式分发
AlienFox。目前，部分模块也可以在上获得，供有意攻击者使用。显然，AlienFox的传播也代表了一种未报告的趋势，即攻击者更加倾向于攻击那些不适合加密挖矿的较小型云服务，而这些服务则作为启动和扩展后续攻击活动的平台。

SentinelLabs 确认了 AlienFox 的第 2 到第 4版，这些版本自2022年2月以来陆续出现。送往其他研究人员的多种脚本被总结为恶意软件家族，包括（Lacework）和（Permiso）。其他组织的研究人员指出，这些脚本也可以在开源平台，包括 GitHub上轻松获得，这导致它们在野外不断适应和变种。

AlienFox瞄准了一种最受追捧的互联网资源——我们的机密和凭据，这让网络犯罪分子能够突破组织的身份验证和安全控制，从而窃取数据、制造混乱并从中获利，Delinia的首席安全科学家兼顾问首席信息安全官 Joseph Carson 表示。他提到，AlienFox能够以自动化的方式攻击云服务器中常见的配置错误，这是一种极其受欢迎的技术，因为这使得攻击者在进行其他工作时，还能忙于窃取机密和凭据。

“自动化似乎不仅是企业的首要任务，也是罪犯的首要关注，”Carson 说道。

Carson 建议组织通过测试和审计面向互联网的服务器，并使用强身份验证解决方案（例如特权访问管理），使得像 AlienFox 这样的工具难以成功。

Dig Security 的联合创始人兼首席执行官 Dan Benjamin 补充道，像 AlienFox这样的工具包的出现凸显了攻击者网络日益复杂的趋势及其造成危害和混乱的能力。Benjamin指出，攻击者正致力于使这种工具在更多目标上有效，特别是那些在企业中广泛使用的服务。

“这些基于云的电子邮件和消息系统中有大量敏感数据，目前面临严重的泄露风险，”Benjamin 说。“考虑到 AWS、GoogleWorkspace、Office365 和 Zoho等平台的广泛使用——即使目标是机会主义的——潜在的业务风险也是相当大的。整个供应链都有可能面临风险。面对这一威胁的现实，尤其是工具包在野外的演变，我们不能掉以轻心。”

现在，组织应该意识到，对于他们认为已经具备的每一项防御措施，总是存在专门构建的攻击工具集，能够轻易地击破其许多，甚至全部防御措施，Checkmarx的安全传播者 Stephen Gates 说。

“今天的组织真正的关键是获取这些攻击工具集，并在‘安全’的环境中对其进行测试，以确定攻击者可能会发现什么，”Gates说道。“这种预防性的方法显然比在遭到攻击后采取补救措施