Ticari amaçlı kötü amaçlı yazılımın Legion adlı güncellenmiş bir sürümü, DynamoDB ve CloudWatch ile ilişkili SSH sunucuları ve Amazon Web Hizmetleri (AWS) kimlik bilgilerini tehlikeye atmak için genişletilmiş özelliklerle birlikte gelir.
Cado Labs araştırmacısı Matt Muir, “Bu son güncelleme, SSH sunucularını tehlikeye atma ve Laravel web uygulamalarından AWS’ye özel ek kimlik bilgileri alma yeteneği gibi yeni yeteneklerle kapsamın genişletildiğini gösteriyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
“Geliştiricinin bulut hizmetlerini hedeflemesinin her yinelemede ilerlediği açık.”
Python tabanlı bir hack aracı olan Legion, kimlik bilgilerini toplamak için güvenlik açığı bulunan SMTP sunucularını ihlal etme becerisini ayrıntılarıyla açıklayan bir bulut güvenlik firması tarafından ilk kez geçen ay belgelendi.
Ayrıca, içerik yönetim sistemlerini (CMS) çalıştıran web sunucularını istismar ettiği, Telegram’ı bir veri sızdırma noktası olarak kullandığı ve çalınan SMTP kimlik bilgilerini kullanarak dinamik olarak oluşturulmuş ABD cep telefonu numaraları listesine spam SMS mesajları gönderdiği de bilinmektedir.
Legion’a dikkate değer bir ek, SSH sunucularını kullanma yeteneğidir. Paramiko modülü. Ayrıca, DynamoDB, CloudWatch ve CloudWatch ile ilgili AWS’ye özgü ek kimlik bilgilerini almak için özellikler içerir. AWS Baykuşu Laravel web uygulamalarından.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Başka bir değişiklik, /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env gibi .env dosyalarının varlığını numaralandırmak için ek yolların dahil edilmesiyle ilgilidir. ve diğerleri arasında /web/.env.
Muir, “Web uygulamalarındaki yanlış yapılandırmalar, hala Legion tarafından kimlik bilgilerini almak için kullanılan birincil yöntemdir” dedi.
“Bu nedenle, web uygulamalarının geliştiricilerinin ve yöneticilerinin, uygulamalar içindeki kaynaklara erişimi düzenli olarak gözden geçirmeleri ve ortam dosyalarında sır saklamanın alternatiflerini aramaları önerilir.”
