24 mai 2023Ravie LakshmananSécurité du serveur / Logiciels malveillants

Logiciels Malveillants Legion

Une version mise à jour du malware de base appelée Legion est livrée avec des fonctionnalités étendues pour compromettre les serveurs SSH et les informations d’identification Amazon Web Services (AWS) associées à DynamoDB et CloudWatch.

« Cette mise à jour récente démontre un élargissement de la portée, avec de nouvelles fonctionnalités telles que la possibilité de compromettre les serveurs SSH et de récupérer des informations d’identification supplémentaires spécifiques à AWS à partir des applications Web Laravel », a déclaré Matt Muir, chercheur chez Cado Labs. a dit dans un rapport partagé avec The Hacker News.

« Il est clair que le ciblage des services cloud par le développeur progresse à chaque itération. »

Legion, un outil de piratage basé sur Python, a été documenté pour la première fois le mois dernier par la société de sécurité cloud, détaillant sa capacité à violer les serveurs SMTP vulnérables afin de récolter les informations d’identification.

Publicité

Il est également connu pour exploiter les serveurs Web exécutant des systèmes de gestion de contenu (CMS), tirer parti de Telegram comme point d’exfiltration de données et envoyer des messages SMS de spam à une liste de numéros mobiles américains générés dynamiquement en utilisant les informations d’identification SMTP volées.

Un ajout notable à Legion est sa capacité à exploiter les serveurs SSH en utilisant le Module Paramiko. Il inclut également des fonctionnalités permettant de récupérer des informations d’identification spécifiques à AWS supplémentaires liées à DynamoDB, CloudWatch et Chouette AWS depuis les applications web Laravel.

WEBINAIRE À VENIR

Zero Trust + Deception : apprenez à déjouer les attaquants !

Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !

Sauvez ma place !

Un autre changement concerne l’inclusion de chemins supplémentaires à énumérer pour l’existence de fichiers .env tels que /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env, et /web/.env entre autres.

« Les erreurs de configuration dans les applications Web sont toujours la principale méthode utilisée par Legion pour récupérer les informations d’identification », a déclaré Muir.

« Par conséquent, il est recommandé que les développeurs et les administrateurs d’applications Web examinent régulièrement l’accès aux ressources au sein des applications elles-mêmes et recherchent des alternatives au stockage des secrets dans des fichiers d’environnement. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


4.5/5 - (36 votes)
Publicité
Article précédentComment réinitialiser les paramètres d’usine d’un téléphone Android
Article suivantLe nouveau firmware de test Galaxy S23 de Samsung pourrait réparer l’appareil photo
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici