Malware Legion aprimora para atacar servidores SSH e credenciais da AWS
24 de Maio de 2023

Uma versão atualizada do malware de commodities chamado Legion vem com recursos expandidos para comprometer servidores SSH e credenciais do Amazon Web Services (AWS) associadas ao DynamoDB e CloudWatch.


"Esta atualização recente demonstra uma ampliação de escopo, com novas capacidades, como a capacidade de comprometer servidores SSH e recuperar credenciais específicas da AWS adicionais de aplicativos da web Laravel", disse o pesquisador da Cado Labs, Matt Muir, em um relatório compartilhado com o The Hacker News.


"Está claro que o foco do desenvolvedor em serviços em nuvem está avançando a cada iteração."
Legion, uma ferramenta de hack baseada em Python, foi documentada pela primeira vez no mês passado pela empresa de segurança em nuvem, detalhando sua capacidade de violar servidores SMTP vulneráveis para colher credenciais.


Também é conhecido por explorar servidores web que executam sistemas de gerenciamento de conteúdo (CMS), alavancar o Telegram como ponto de exfiltração de dados e enviar mensagens SMS de spam para uma lista de números de celular dos EUA gerados dinamicamente usando as credenciais SMTP roubadas.


Uma adição notável ao Legion é sua capacidade de explorar servidores SSH usando o módulo Paramiko.

Ele também inclui recursos para recuperar credenciais específicas da AWS relacionadas ao DynamoDB, CloudWatch e AWS Owl de aplicativos da web Laravel.


Outra mudança diz respeito à inclusão de caminhos adicionais para enumerar a existência de arquivos .env, como /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env e /web/.env, entre outros.


"As configurações incorretas em aplicativos da web ainda são o principal método usado pelo Legion para recuperar credenciais", disse Muir.


"Portanto, é recomendável que os desenvolvedores e administradores de aplicativos da web revisem regularmente o acesso a recursos dentro dos próprios aplicativos e busquem alternativas para armazenar segredos em arquivos de ambiente".

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...