Legion Malware atualizado para servidores SSH de destino e credenciais da AWS
Uma versão atualizada do malware commodity chamado Legion vem com recursos expandidos para comprometer os servidores SSH e as credenciais do Amazon Web Services (AWS) associadas ao DynamoDB e CloudWatch.
“Esta atualização recente demonstra uma ampliação do escopo, com novos recursos, como a capacidade de comprometer servidores SSH e recuperar credenciais adicionais específicas da AWS de aplicativos da web Laravel”, disse Matt Muir, pesquisador do Cado Labs, em um relatório compartilhado com o The Hacker News.
“Está claro que o foco do desenvolvedor em serviços em nuvem está avançando a cada iteração.”
Legion, uma ferramenta de hack baseada em Python, foi documentada pela primeira vez no mês passado pela empresa de segurança em nuvem, detalhando sua capacidade de violar servidores SMTP vulneráveis para coletar credenciais.
Também é conhecido por explorar servidores da Web que executam sistemas de gerenciamento de conteúdo (CMS), aproveitar o Telegram como um ponto de exfiltração de dados e enviar mensagens SMS de spam para uma lista de números de celular dos EUA gerados dinamicamente, usando as credenciais SMTP roubadas.
Uma adição notável ao Legion é sua capacidade de explorar servidores SSH usando o módulo Paramiko. DynamoDB, CloudWatch e AWS Owl. Ele também inclui recursos para recuperar credenciais adicionais específicas da AWS relacionadas a aplicativos da Web do Laravel,
Outra alteração refere-se à inclusão de caminhos adicionais para enumerar a existência de arquivos .env, como /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env, e /web/.env entre outros.
“Configurações incorretas em aplicativos da Web ainda são o principal método usado pela Legion para recuperar credenciais”, disse Muir.
“Portanto, é recomendável que os desenvolvedores e administradores de aplicativos da Web revisem regularmente o acesso aos recursos dentro dos próprios aplicativos e busquem alternativas para armazenar segredos em arquivos de ambiente”.
12 thoughts on “Legion Malware atualizado para servidores SSH de destino e credenciais da AWS”
Comments are closed.