Ticari amaçlı kötü amaçlı yazılımın Legion adlı güncellenmiş bir sürümü, DynamoDB ve CloudWatch ile ilişkili SSH sunucuları ve Amazon Web Hizmetleri (AWS) kimlik bilgilerini tehlikeye atmak için genişletilmiş özelliklerle birlikte gelir.
The Hacker News ile paylaşılan bir raporda Cado Labs araştırmacısı Matt Muir, “Bu son güncelleme, SSH sunucularını tehlikeye atma ve Laravel web uygulamalarından AWS’ye özgü ek kimlik bilgileri alma yeteneği gibi yeni yeteneklerle kapsamın genişletildiğini gösteriyor” dedi.
“Geliştiricinin bulut hizmetlerini hedeflemesinin her yinelemede ilerlediği açık.”
Python tabanlı bir hack aracı olan Legion, kimlik bilgilerini toplamak için güvenlik açığı bulunan SMTP sunucularını ihlal etme becerisini ayrıntılarıyla açıklayan bir bulut güvenlik firması tarafından ilk kez geçen ay belgelendi.
Ayrıca, içerik yönetim sistemlerini (CMS) çalıştıran web sunucularını istismar ettiği, Telegram’ı bir veri sızdırma noktası olarak kullandığı ve çalınan SMTP kimlik bilgilerini kullanarak dinamik olarak oluşturulmuş ABD cep telefonu numaraları listesine spam SMS mesajları gönderdiği de bilinmektedir.
Legion’a kayda değer bir ek, Paramiko modülünü kullanarak SSH sunucularından yararlanma yeteneğidir. Ayrıca, Laravel web uygulamalarından DynamoDB, CloudWatch ve AWS Owl ile ilgili AWS’ye özgü ek kimlik bilgilerini almaya yönelik özellikler içerir.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Başka bir değişiklik, /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env gibi .env dosyalarının varlığını numaralandırmak için ek yolların dahil edilmesiyle ilgilidir. ve diğerleri arasında /web/.env.
Muir, “Web uygulamalarındaki yanlış yapılandırmalar, Legion tarafından kimlik bilgilerini almak için kullanılan birincil yöntem olmaya devam ediyor” dedi.
“Bu nedenle, web uygulamalarının geliştiricilerinin ve yöneticilerinin, uygulamalar içindeki kaynaklara erişimi düzenli olarak gözden geçirmeleri ve ortam dosyalarında sır saklamanın alternatiflerini aramaları önerilir.”