Tehdit aktörleri, kimlik bilgilerini çalmak için çok sayıda Web tabanlı hizmetten yararlanabilen bir Telegram kanalı aracılığıyla yeni bir kimlik bilgisi toplayıcı ve hacktool satıyorlar. Araştırmacılar ayrıca, ABD merkezli mobil cihazları da hedef alan SMS tabanlı spam saldırıları başlatma bonus yeteneğine de sahip.
Cado Security’den araştırmacılar, her ikisine de bağlantıları olan Legion adlı Python tabanlı kimlik bilgisi hırsızını ortaya çıkardı. AndroxGh0st kötü amaçlı yazılım ailesi ve başka önceden keşfedilen kötü amaçlı yazılımortaya çıkardılar bir blog yazısı bugün yayınlandı
Araştırmacılar, Legion’un birincil saldırı yönteminin, içerik yönetim sistemleri (CMS), PHP veya Laravel gibi PHP tabanlı çerçeveler çalıştıran yanlış yapılandırılmış Web sunucularını ele geçirmek olduğunu belirtti. Kurulduktan sonra, sunuculardan kimlik bilgilerini almak için çeşitli yöntemler içerir: Web sunucusu yazılımının kendisini, komut dosyası dillerini veya sunucunun üzerinde çalıştığı çerçeveleri hedefleyerek. Araştırmacılar, kötü amaçlı yazılımın sır içerdiği bilinen bu kaynaklardan kaynak istemeye çalıştığını, bunları ayrıştırdığını ve sırları hizmet bazında sıralanan sonuç dosyalarına kaydettiğini söyledi.
Cado Security’de tehdit istihbaratı araştırmacısı Matt Muir analizde “Böyle bir kaynak, genellikle Laravel ve diğer PHP tabanlı Web uygulamaları için uygulamaya özel sırlar içeren .env ortam değişkenleri dosyasıdır” diye yazdı. “Kötü amaçlı yazılım, bu dosyaya giden olası yolların yanı sıra diğer Web teknolojileri için benzer dosya ve dizinlerin bir listesini tutar.”
Araştırmacılar, Legion’ın e-posta sağlayıcıları, bulut hizmeti sağlayıcıları, sunucu yönetim sistemleri, veritabanları ve Stripe ve PayPal gibi ödeme platformları gibi sayısız Web tabanlı kaynak ve hizmetten kimlik bilgilerini çalmak için ilerlediğini söyledi. Muir, bu kötü amaçlı yazılımın Lacework’teki araştırmacılar tarafından yapılan analizine göre, Legion’ın AndroxGh0st’teki benzer işlevlerle tutarlı olan Amazon Web Services (AWS) kimlik bilgilerini kaba kuvvetle uygulayabileceğini söyledi.
Muir, Dark Reading’e, kimlik bilgisi hırsızlığına ek olarak, Legion’un bir Webshell’i kaydetmek veya kötü amaçlı kodu uzaktan yürütmek için iyi bilinen PHP güvenlik açıklarından yararlanabilen geleneksel hacktool işlevselliğini içerdiğini söylüyor.
“Öncelikle bir SMTP kötüye kullanım aracıdır, ancak söz konusu kötüye kullanım için kimlik bilgilerini toplamak üzere yanlış yapılandırılmış Web hizmetlerinin fırsatçı bir şekilde kullanılmasına dayanır” diyor. “Ayrıca, geleneksel olarak daha yaygın bilgisayar korsanlığı araçlarında bulunan, Web sunucusuna özgü açıklardan yararlanma kodu ve kaba kuvvet hesap kimlik bilgilerini yürütme yeteneği gibi ek işlevsellikleri de bir araya getiriyor.”
Bahsedildiği gibi, kötü amaçlı yazılımın benzersiz bir yönü, kimlik bilgilerini çalma ve genel bilgisayar korsanlığının yanı sıra, AT&T, Boost Mobile, Cingular, Sprint, Verizon aboneleri de dahil olmak üzere Amerika Birleşik Devletleri’ndeki mobil ağ kullanıcılarına otomatik olarak SMS spam mesajları gönderebilmesidir. , ve dahası. Araştırmacılar, bu özelliğin bir kimlik bilgisi toplayıcıda sık görülmediğini, hatta hiç görülmediğini belirtti.
Bu işlev oldukça basittir: Alan kodunu web sitesinden alır. www.randomphonenumbers.comardından uygulanabilir bir telefon numarası bulmak için farklı sayı kombinasyonlarını dener.
Muir, “Alan kodunu almak için Legion, Python’un BeautifulSoup HTML ayrıştırma kitaplığını kullanıyor” diye yazdı. “Daha sonra, hedeflenecek telefon numaralarının bir listesini oluşturmak için temel bir sayı üreteci işlevi kullanılır.”
Kötü amaçlı yazılımın, SMS mesajlarını kendileri göndermek için, kimlik bilgisi toplama modüllerinden biri tarafından alınan kayıtlı SMTP kimlik bilgilerini kontrol ettiğini de sözlerine ekledi.
Telegram Yoluyla Yaygın Kötü Amaçlı Yazılım Dağıtımı
Araştırmacılar, 1.000’den fazla üyesi olan ve Cado araştırmacılarının erişim kazandığı halka açık bir Telegram grubunun, kötü amaçlı yazılım hakkında eğitim videoları içeren özel bir YouTube kanalına sahip olan Legion’u dağıttığını söyledi.
Kötü amaçlı yazılımın, toplamda yaklaşık 5.000 kullanıcıya ulaşması için diğer Telegram grupları tarafından da reklamı yapılıyor. Muir, bu birleştirilmiş faktörlerin, Legion’un halihazırda sadık bir takipçi kitlesine sahip olduğunu ve muhtemelen kalıcı bir lisans modeli kapsamında bir satın alma teklifi olduğunu gösterdiğini söyledi.
Gönderide, “Her üye Legion için bir lisans satın almamış olsa da, bu rakamlar böyle bir araca ilginin yüksek olduğunu gösteriyor” diye yazdı. “İlgili araştırmalar, bu kötü amaçlı yazılımın muhtemelen kendi dağıtım kanallarına sahip birkaç çeşidi olduğunu gösteriyor.”
Araştırmacılar, Legion’un kesin kaynağını belirlememiş olsa da, YouTube kanalındaki birkaç Endonezya dilindeki yorum, geliştiricinin Endonezyalı veya Endonezya merkezli olabileceğini öne sürüyor ve Telegram grubundaki “my13gion” tanıtıcılı kullanıcıya yapılan atıflar da ipuçları sunuyor. kaynağına, dediler.
Ayrıca, PHP kullanımına ayrılmış bir işlevde, bir GitHub Gist bağlantısı, bu kullanıcının Endonezya’da bulunduğunu öne süren bir profille birlikte Galeh Rizky adlı bir kullanıcıya yönlendirir. Araştırmacılar, yine de, Rizky’nin Legion’un arkasındaki geliştirici olup olmadığı veya kodunun Cado tarafından analiz edilen örnekte bulunup bulunmadığı net değil.
Legion’un Siber Riski Nasıl Azaltılır ve Değerlendirilir?
Araştırmacılar, kuruluşların veya cihaz kullanıcılarının Legion tarafından ele geçirilip geçirilmediklerini veya kötü amaçlı yazılımın hedefi olup olamayacaklarını bilmelerine yardımcı olmak için, güvenlik ihlali göstergelerinin (IoC’ler) bir listesinin yanı sıra blog gönderisine hedeflenen ABD mobil operatörlerinin bir listesini ekledi. sırasıyla.
Kötü amaçlı yazılımın sistemlere erişmek için Web sunucularındaki veya çerçevelerdeki yanlış yapılandırmalara bağlı olduğu göz önüne alındığında, Cado, kuruluşların ve bu teknolojilerin diğer kullanıcılarının mevcut güvenlik süreçlerini gözden geçirmelerini ve sırların uygun şekilde depolandığından emin olmalarını önerir. Araştırmacılar ayrıca, eğer kimlik bilgileri bir .env dosyasında saklanıyorsa, bu dosyanın Web sunucusu dizinlerinin dışında olması gerektiğini ve böylece Web’den erişilemeyeceğini söyledi.
Muir, AWS ve Microsoft Azure gibi bulut sağlayıcıları kullanan kuruluşların, Web sunucularının düzgün bir şekilde yapılandırıldığından emin olmak için bu platformların kullanım koşulları kapsamındaki paylaşılan sorumluluk yükümlülüklerini de akıllarında tutmaları gerektiğini söylüyor. Kötü amaçlı yazılımın uzlaşması, “paylaşılan bir sorumluluk bağlamında büyük olasılıkla kullanıcının görev alanına girer” diyor.
Ayrıca, AWS kullanıcıları, Legion’ın AWS kimlik bilgilerini elde etme girişiminde platformun kimlik erişim yönetimini (IAM) ve basit e-posta hizmetini (SES) hedef aldığını da bilmelidir. Araştırmacılar, bu riski azaltmak için kuruluşların, kötü amaçlı yazılımın ayırt edici özelliği olan “ms.boharas” sabit kodlu değerine sahip bir “Sahip” etiketi içerecek şekilde IAM kullanıcı kayıt kodunda değişiklik gösteren kullanıcı hesaplarına dikkat etmesi gerektiğini söyledi. .