นักวิจัยของ SentinelLabs ได้ค้นพบชุดเครื่องมือใหม่ที่อาชญากรไซเบอร์ใช้เพื่อเจาะเข้าไปในบริการอีเมลและเว็บโฮสติ้ง (เปิดในแท็บใหม่)
ชุดเครื่องมือมัลแวร์ที่เรียกว่า "AlienFox" ได้รับการอธิบายว่า "เป็นแบบแยกส่วนสูง" และได้รับการอัปเดตเป็นประจำ เครื่องมือส่วนใหญ่ในชุดนี้เป็นแบบโอเพ่นซอร์ส และด้วยอัตราที่มีการอัปเดต นักวิจัยจึงสรุปได้ว่านักพัฒนาซอฟต์แวร์กำลัง "มีความซับซ้อนมากขึ้นเรื่อยๆ"
ตามรายงานของ SentinelLabs แฮ็กเกอร์ใช้ AlienFox ในกลุ่ม Telegram โดยอ้างว่าสามารถใช้เพื่อประนีประนอมโฮสต์ที่กำหนดค่าผิดพลาดบนแพลตฟอร์มคลาวด์และขโมยข้อมูลที่ละเอียดอ่อน
การใช้แพลตฟอร์มดิจิทัลในทางที่ผิด
"เครื่องมือของ AlienFox ช่วยอำนวยความสะดวกในการโจมตีบริการขั้นต่ำที่ขาดทรัพยากรที่จำเป็นสำหรับการขุด" นักวิจัยกล่าวในรายงานของพวกเขา "จากการวิเคราะห์เครื่องมือและผลลัพธ์ของเครื่องมือ เราพบว่าผู้ดำเนินการใช้ AlienFox เพื่อระบุและรวบรวมข้อมูลประจำตัวของบริการจากบริการที่กำหนดค่าผิดพลาดหรือถูกเปิดเผย บริการเพิ่มเติม การสูญเสียความไว้วางใจของลูกค้า และค่าใช้จ่ายในการแก้ไข"
ในการสร้างรายการโฮสต์ที่กำหนดค่าผิดพลาด ชุดเครื่องมือจะใช้แพลตฟอร์มการวิเคราะห์ความปลอดภัย เช่น LeakIX หรือ SecurityTrails จากนั้นจะใช้สคริปต์ต่างๆ เพื่อดึงข้อมูลที่ละเอียดอ่อน เช่น คีย์ API และความลับจากไฟล์การกำหนดค่า นักวิจัยอธิบาย บางเวอร์ชันที่วิเคราะห์สำหรับรายงานสามารถสร้างการคงอยู่ของบัญชี AWS และยกระดับสิทธิ์ ตลอดจนรวบรวมโควตาการส่งและทำให้แคมเปญสแปมเป็นไปโดยอัตโนมัติในบัญชีและบริการต่างๆ ของเหยื่อ
จนถึงขณะนี้ การโจมตีบริการบนคลาวด์ได้จำกัดเฉพาะเครื่องขุดคริปโตเท่านั้น ผู้คุกคามจะใช้เซิร์ฟเวอร์คลาวด์ที่ถูกบุกรุกเพื่อรัน XMRig หรือเครื่องขุดคริปโตเคอเรนซีที่คล้ายกัน สร้างโทเค็นโดยไม่ต้องจ่ายค่าไฟฟ้า อินเทอร์เน็ต หรือกำลังคอมพิวเตอร์ ด้วย AlienFox, SentinelLabs อ้างว่าการโจมตีแบบฉวยโอกาสในระบบคลาวด์ไม่ได้จำกัดอยู่แค่การเข้ารหัสลับอีกต่อไป
“สำหรับผู้ที่ตกเป็นเหยื่อ การประนีประนอมอาจส่งผลให้มีค่าบริการเพิ่มเติม สูญเสียความไว้วางใจจากลูกค้า และค่าใช้จ่ายในการแก้ไข” นักวิจัยสรุป
ผ่าน: The Registry (เปิดในแท็บใหม่)