Malware Legion actualizado para servidores SSH de destino y credenciales de AWS

Una versión actualizada del malware básico llamado Legion viene con características ampliadas para comprometer los servidores SSH y las credenciales de Amazon Web Services (AWS) asociadas con DynamoDB y CloudWatch.

"Esta actualización reciente demuestra una ampliación del alcance, con nuevas capacidades como la capacidad de comprometer servidores SSH y recuperar credenciales adicionales específicas de AWS de las aplicaciones web de Laravel", dijo el investigador de Cado Labs Matt Muir en un informe compartido con The Hacker News.

"Está claro que la orientación del desarrollador a los servicios en la nube está avanzando con cada iteración".

Legion, una herramienta de piratería basada en Python, fue documentada por primera vez el mes pasado por la firma de seguridad en la nube, detallando su capacidad para violar servidores SMTP vulnerables para recolectar credenciales.

También se sabe que explota servidores web que ejecutan sistemas de gestión de contenido (CMS), aprovecha Telegram como punto de exfiltración de datos y envía mensajes SMS de spam a una lista de números móviles de EE.

Una adición notable a Legion es su capacidad para explotar servidores SSH utilizando el módulo Paramiko. También incluye características para recuperar credenciales adicionales específicas de AWS relacionadas con DynamoDB, CloudWatch y AWS Owl de aplicaciones web de Laravel.

Otro cambio se relaciona con la inclusión de rutas adicionales para enumerar la existencia de archivos .env como /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env y /web/.env entre otros.

"Las configuraciones erróneas en las aplicaciones web siguen siendo el método principal utilizado por Legion para recuperar credenciales", dijo Muir.

"Por lo tanto, se recomienda que los desarrolladores y administradores de aplicaciones web revisen regularmente el acceso a los recursos dentro de las propias aplicaciones y busquen alternativas para almacenar secretos en archivos de entorno".

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta