Una versión actualizada del malware básico llamado Legion viene con características ampliadas para comprometer los servidores SSH y las credenciales de Amazon Web Services (AWS) asociadas con DynamoDB y CloudWatch.
«Esta actualización reciente demuestra una ampliación del alcance, con nuevas capacidades, como la capacidad de comprometer los servidores SSH y recuperar credenciales adicionales específicas de AWS de las aplicaciones web de Laravel», dijo Matt Muir, investigador de Cado Labs. dicho en un informe compartido con The Hacker News.
«Está claro que la orientación de los servicios en la nube por parte del desarrollador avanza con cada iteración».
Legion, una herramienta de pirateo basada en Python, fue documentada por primera vez el mes pasado por la empresa de seguridad en la nube, detallando su capacidad para violar servidores SMTP vulnerables para recolectar credenciales.
También se sabe que explota servidores web que ejecutan sistemas de administración de contenido (CMS), aprovecha Telegram como un punto de filtración de datos y envía mensajes SMS no deseados a una lista de números móviles de EE. UU. generados dinámicamente haciendo uso de las credenciales SMTP robadas.
Una adición notable a Legion es su capacidad para explotar servidores SSH usando el Módulo Paramiko. También incluye características para recuperar credenciales adicionales específicas de AWS relacionadas con DynamoDB, CloudWatch y Búho AWS de las aplicaciones web de Laravel.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Otro cambio se relaciona con la inclusión de rutas adicionales para enumerar la existencia de archivos .env como /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env, y /web/.env entre otros.
«Las configuraciones incorrectas en las aplicaciones web siguen siendo el método principal utilizado por Legion para recuperar las credenciales», dijo Muir.
«Por lo tanto, se recomienda que los desarrolladores y administradores de aplicaciones web revisen regularmente el acceso a los recursos dentro de las propias aplicaciones y busquen alternativas para almacenar secretos en archivos de entorno».