Yeni Python tabanlı Legion kötü amaçlı yazılımı, potansiyel bir Endonezyalı geliştiriciyle ilişkilendiriliyor.
Bulut adli tıp ve olay müdahale platformu girişimi Cado Security Ltd., “Legion” adlı yeni bir kimlik bilgisi toplayıcı ve bilgisayar korsanlığı aracının ayrıntılarını açıkladı.
Araştırmacılara göre Legion, Telegram’da satılıyor ve e-posta kötüye kullanımı için çeşitli hizmetlerden yararlanmak üzere tasarlandı. Aracın, ilk olarak Aralık 2022’de bildirilen AndroxGh0st kötü amaçlı yazılım ailesiyle bağlantılı olduğuna inanılıyor.
Popüler mesajlaşma platformu genellikle yasa dışı faaliyetlerle ilişkilendirildiğinden, Telegram’ın Legion kötü amaçlı yazılımını satmak için kullanılması şaşırtıcı gelmemelidir. Aslında, daha geçen hafta, Rapor edildi Tehdit aktörleri, kimlik avı saldırılarını otomatikleştirmek için Telegram’dan yararlanıyor ve platformun siber suç faaliyetlerini kolaylaştırmadaki rolünü vurguluyor.
Legion özellikle içerik yönetim sistemlerini, PHP veya PHP tabanlı çerçeveleri çalıştıran web sunucularını hedefler. E-posta sağlayıcıları, bulut hizmeti sağlayıcıları, sunucu yönetim sistemleri, veritabanları ve Stripe Inc. ve PayPal Holdings Inc. gibi ödeme platformları dahil olmak üzere çok çeşitli web hizmetleri için kimlik bilgilerini alma yeteneğine sahiptir. Ayrıca, Legion SMS mesajlarını ele geçirebilir ve güvenliği ihlal edebilir. Amazon Web Services Inc. kimlik bilgileri.
Legion’ın dikkate değer bir özelliği, savunmasız SMTP sunucularını sıralayabilen, uzaktan kod yürütebilen, Apache’nin savunmasız sürümlerinden yararlanabilen ve cPanel ve WebHost Manager hesaplarını kaba kuvvetle çalıştırabilen modüllerin kullanılabilirliğidir.
Ayrıca şunlarla etkileşime girer: Shodan Arama Motoru‘nin API’si bir hedef listesi alır ve AWS hizmetlerini kötüye kullanmaya odaklanan modüllere sahiptir. Araştırmacılar ayrıca, Legion’ın Amerika Birleşik Devletleri’ndeki mobil ağ kullanıcılarına tüm taşıyıcılar üzerinden SMS spam mesajları gönderme yeteneğini de vurguladılar, bu da onu diğer benzer araçlardan ayırıyor.
Legion, çeşitli Telegram kanallarında satılıyor ve YouTube’da öğretici videolar aracılığıyla tanıtılıyor, bu da onun geniş çapta dağıtıldığını ve muhtemelen ücretli kötü amaçlı yazılım olduğunu gösteriyor.
Kötü amaçlı yazılımın kaynağı doğrulanmamakla birlikte, Bahasa Endonezya’da bulunan yorumlar, geliştiricinin Endonezyalı veya Endonezya merkezli olabileceğini düşündürmektedir. Bir GitHub Gist bağlantısı, profili Endonezya’da ikamet ettiğini gösteren “Galeh Rizky” adlı bir kullanıcıya yönlendirir.
Bir önlem olarak, Cado Security araştırmacıları, rapor web sunucusu teknolojilerinin ve Laravel gibi çerçevelerin kullanıcılarının mevcut güvenlik süreçlerini gözden geçirmesi ve kimlik bilgilerinin uygun şekilde saklandığından emin olması.
İdeal olarak, kimlik bilgileri gibi hassas bilgiler, yetkisiz erişimi önlemek için web sunucusu dizinlerinin dışında bir .env dosyasında saklanmalıdır.
Legion’un keşfi, siber güvenlik ortamında devam eden kimlik bilgileri toplama ve bilgisayar korsanlığı araçları tehdidini vurgulamaktadır. Kuruluşlara güçlü güvenlik önlemlerine öncelik vermeleri ve gelişen siber tehditlere karşı tetikte olmaları için bir hatırlatma görevi görür.
Öte yandan, Telegram’ı kötü amaçlı yazılım alım satımı için bir platform olarak kullanma eğilimi, siber suçluların yasa dışı faaliyetler yürütmesi için uygun ve anonim bir yol sağladığı için endişe vericidir.
ALAKALI HABERLER
- 360 Milyon WhatsApp Kaydı Telegram’a Sızdı
- Bilgisayar korsanları, İranlı protestoculara yardım etmek için Telegram’a yöneldi
- Telegram ve Discord Botları Bilgi Çalan Kötü Amaçlı Yazılım Bırakıyor
- Sahte Telegram ve WhatsApp klonları kripto fonlarını çaldı
- 21M SuperVPN, GeckoVPN kullanıcı verileri Telegram’a sızdırıldı