Yakın zamanda, Cado Security Labs, “Legion” adlı Python tabanlı yeni bir kimlik bilgisi toplayıcının ayrıntılarını keşfetti ve açıkladı.
Siber güvenlik araştırmacıları, bu bilgisayar korsanlığı aracı “Legion”un Telegram’a çoktan ulaştığını ve operatörleri tarafından Telegram’da aktif olarak pazarlandığını iddia ettiler.
Bu bilgisayar korsanlığı aracı, çok çeşitli e-posta hizmetlerini hedeflemek ve bunlardan yararlanmak için özel olarak tasarlanmıştır. Legion, muhtemelen Aralık 2022’de ilk kez manşetlere çıkan kötü şöhretli AndroxGh0st kötü amaçlı yazılım ailesiyle bağlantılıdır.
Lejyon Teklifleri
Legion’da bulunan ve aşağıdakileri sıralamak için kullanılan birkaç modül vardır: –
- Güvenlik açığı bulunan SMTP sunucuları
- Uzaktan Kod Yürütme (RCE)
- Apache’nin savunmasız sürümlerinden yararlanın
- Kaba kuvvet cPanel
- Kaba kuvvet WebHost Yöneticisi (WHM) hesapları
- Shodan’ın API’si ile etkileşime geçin
- SMS mesajlarını kaçırma
- Amazon Web Services kimlik bilgilerinden ödün verme
Bunun yanı sıra AlienFox kapsamlı bir araç setidir ve AndroxGh0st’in bu araç setinin bir parçası olduğu tespit edilmiştir.
Bu araç seti doğası gereği geniş olduğundan, tehdit aktörlerine bulut hizmetlerinden API anahtarlarını ve temel sırları çalma yeteneği de sağlar.
Legion’un birden fazla Telegram kanalında bulunması ve YouTube eğitim videoları aracılığıyla tanıtılması, bunun kötü amaçlı yazılım yaymak için gelişigüzel veya izole bir girişim olmadığını, daha çok yaygın ve koordineli bir çaba olduğunu güçlü bir şekilde gösteriyor.
Kökeni nedir?
Kötü amaçlı yazılımın kesin kaynağı doğrulanmamış olsa da, Bahasa Endonezya’da bulunan yorumlara ve diğer dilbilimsel kanıtlara dayanarak, arkasındaki geliştiricinin Endonezyalı olabileceğine veya Endonezya’da ikamet edebileceğine dair göstergeler var.
Cado Security araştırmacıları, güvenlik süreçlerini ve prosedürlerini gözden geçirmeleri için Laravel gibi web sunucusu teknolojileri ve çerçevelerinin tüm kullanıcılarına bir önlem tavsiyesi yayınladı.
Uzmanlar, kimlik bilgileri gibi hassas bilgilerin maksimum düzeyde korunmasını sağlamak için bu tür bilgilerin web sunucusu dizinlerinin dışında bir .env dosyasında saklanmasını önerir.
Bu, tehdit aktörlerinin yararlanabileceği potansiyel saldırı yüzeyini sınırlandırarak kritik verilere yetkisiz erişimin önlenmesine yardımcı olacaktır.
Hedeflenen Hizmetler
Aşağıda, hedeflenen hizmetlerin tam listesinden bahsetmiştik:-
- Twilio
- Sonraki
- Stripe/Paypal (ödeme API işlevi)
- AWS konsolu kimlik bilgileri
- AWS SNS, S3 ve SES’e özel kimlik bilgileri
- posta tabancası
- Plio
- tıklama gönder
- Mandril
- posta jeti
- MesajKuş
- gezi
- Sonraki
- Exotel
- tek sinyal
- Clickatel
- Tok kutusu
- SMTP kimlik bilgileri
- Veritabanı Yönetimi ve CMS kimlik bilgileri (CPanel, WHM, PHPmyadmin)
Aşağıda, hedeflenen taşıyıcıların listesinden bahsetmiştik:-
- Alltel
- Güçlendirilmiş Mobil
- AT&T
- Mobili Artırın
- tekil
- Kriket
- Einstein adet
- Sprint
- suncom
- T mobil
- Ses Akışı
- ABD Hücresel
- Verizon
- Bakir
Ayrıca Endonezya’da ikamet eden “Galeh Rizky” isimli bir kullanıcının profiline göre profilinde GitHub Gist bağlantısı görünüyor.
Galeh Rizky ve Legion arasındaki kesin ilişki şu anda belirsizliğini korusa da, en şaşırtıcı şey, tespit edilen örnekte kodlarının varlığıdır.
Galeh Rizky, Legion’un arkasındaki geliştirici olabilir veya kodlarının bilgisi veya rızası olmadan kullanılmış olması bir tesadüf olabilir.
Bu kötü amaçlı yazılım, esas olarak web sunucusu teknolojilerindeki ve çerçevelerindeki yanlış yapılandırmalara bağlıdır. Bu nedenle, daha fazla istismarı önlemek için tüm güvenlik mekanizmalarını yeniden kontrol etmeniz şiddetle tavsiye edilir.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin