AlienFox というツールキットが登場:ミスコンフィグ・スキャナーでクラウドの機密情報を狙う

New AlienFox toolkit steals credentials for 18 cloud services

2023/03/30 BleepingComputer — AlienFox と呼ばれる新しいツールキットを利用する脅威アクターたちが、サーバのミスコンフィグレーションをスキャンし、クラウドベースのメールサービスの認証情報や機密情報を窃取していることが判明した。このツールキットがサイバー犯罪者たちに販売される、Telegram のプライベート・チャネルは、マルウェア開発者とハッカーが取引する際の、一般的な手段となっている。 SentinelLabs の研究者たちによると、AlienFox はモジュール式のツールセットであり、Laravel/Drupal/Joomla/Magento/Opencart/Prestashop/WordPress などのオンライン・ホスティング・フレームワークの、一般的なサービスにおけるミスコンフィグレーションをターゲットにしているという。

AlienFox に3つのバージョンあることを研究者たちは確認しており、このツールキットの開発者が、悪意のツールを積極的に開発/改良していることが示唆される。

機密情報を狙う AlienFox

AlienFox は、さまざまな開発者が作成した、多種多様のカスタムツールや、修正されたオープンソース・ユーティリティなどで構成される、モジュール式のツールセットだ。AlienFox を使用する脅威アクターたちは、LeakIX/SecurityTrails などのセキュリティ・スキャン・プラットフォームから、設定ミスのあるクラウド・エンドポイントのリストを収集する。

続いて AlienFox は、データ抽出スクリプトを使用して、設定ミスのあるサーバで検索し、一般的に使用される機密設定ファイルに保存されている、API キー/アカウント認証情報/認証トークンなどを盗み出す。

対象となるのは、1and1/AWS/Bluemail/Exotel/Google Workspace/Mailgun/Mandrill/Nexmo/Office365/OneSignal/Plivo/Sendgrid/Sendinblue/Sparkpostmail/Tokbox/Twilio/Zimbra/Zoho などの、クラウドベースの Eメール・プラットフォームの機密情報である。

さらにこのツールキットには、脆弱なサーバ上で永続性を確立し、権限を昇格させるためのスクリプトも含まれている。

Extracting secrets from AWS (left) and Office365 (right)
AWS (左) と Office365 (右) から抽出された機密情報 (SentinelLabs)
進化するツールセット

SentinelLabs によると、野放し状態での活動が発見された、最も初期のバージョンは AlienFox v2 であり、Web サーバの設定と環境ファイルの抽出に重点を置くものだったという。続いて、このマルウェアは、ファイルを解析して認証情報を取得し、標的となるサーバ上でテストを行い、Paramiko Python ライブラリを介して SSH を試みていた。

AlienFox v2 には、AWS SES (Simple Email Services) でのメッセージの送受信を自動化し、脅威アクターの AWS アカウントで、昇格権限の永続化を適用するスクリプト (awses.py) も含まれていた。このバージョンは、Laravel PHP Framework のデシリアライズの脆弱性 CVE-2022-31279 に対する、エクスプロイトも備えていた。

Retrieving email addresses
メールアドレスの取得 (SentinelLabs)

AlienFox v3 では、Laravel 環境からキーとシークレットを自動抽出し、盗まれたデータには、採取方法を示すタグが表示されるようになった。また、AlienFox v3 では、初期化変数/モジュール型関数を持つ Python クラス/プロセス・スレッドなど、より優れた機能を実装している。

AlienFox の最新バージョンは v4 であり、コードとスクリプトの構成が改善され、対象範囲が拡大されている。新たに追加されたものには、WordPress/Joomla/Drupal/Prestashop/Magento/Opencart のターゲティングなどがある。それに加えて、Amazon.com 小売サイトのアカウント・チェッカーや、Bitcoin/Ethereum 用の自動暗号通貨ウォレットのシード・クラッカーなども含まれるという。

Wallet seed generator
ウォレット・シード・ジェネレーター (SentinelLabs)

新たな “Wallet Cracking” スクリプトが示すのは、AlienFox の開発者が、このツールセット顧客層の拡大を目指し、既存の顧客層からのサブスクリプションの強化を目論んでいることだ。

この進化する脅威からの保護を考える上で必要となるのは、適切なアクセス制御/ファイル・パーミッション/不要なサービスの削除などの、サーバ構成の適切な設定である。さらに、MFA (多要素認証) を導入し、それぞれのアカウントにおける異常や不審な動きを監視することで、侵入を早期に阻止することも可能だ。

クラウドのミスコンフィグレーションが問題だと指摘され始めてから、ずいぶんと時間が経ちましたが、この弱点を徹底的に狙う AlienFox が登場してしまいました。Sentinel Lab の Dissecting AlienFox | The Cloud Spammer’s Swiss Army Knife を、ぜひ、ご参照ください。すでに1年以上も前の記事となりますが、2022/01/18 の「2022年のクラウド・セキュリティ:Gartner が提唱する3つのトレンドとは?」でも、クラウドのミスコンフィグを悪用する脅威について触れられています。よろしければ、以下の記事も、ご参照ください。

2022/10/19:Microsoft が引き起こしたミスコンフィグ
2022/07/07:Amazon S3 で繰り返されるミスコンフィグ
2022/05/19:SaaS 調査:ミス・コンフィグを無くすポイントとは?