Une version mise à jour du malware de base appelée Legion est livrée avec des fonctionnalités étendues pour compromettre les serveurs SSH et les informations d’identification Amazon Web Services (AWS) associées à DynamoDB et CloudWatch.
« Cette mise à jour récente démontre un élargissement de la portée, avec de nouvelles fonctionnalités telles que la possibilité de compromettre les serveurs SSH et de récupérer des informations d’identification supplémentaires spécifiques à AWS à partir des applications Web Laravel », a déclaré Matt Muir, chercheur chez Cado Labs. a dit dans un rapport partagé avec The Hacker News.
« Il est clair que le ciblage des services cloud par le développeur progresse à chaque itération. »
Legion, un outil de piratage basé sur Python, a été documenté pour la première fois le mois dernier par la société de sécurité cloud, détaillant sa capacité à violer les serveurs SMTP vulnérables afin de récolter les informations d’identification.
Il est également connu pour exploiter les serveurs Web exécutant des systèmes de gestion de contenu (CMS), tirer parti de Telegram comme point d’exfiltration de données et envoyer des messages SMS de spam à une liste de numéros mobiles américains générés dynamiquement en utilisant les informations d’identification SMTP volées.
Un ajout notable à Legion est sa capacité à exploiter les serveurs SSH en utilisant le Module Paramiko. Il inclut également des fonctionnalités permettant de récupérer des informations d’identification spécifiques à AWS supplémentaires liées à DynamoDB, CloudWatch et Chouette AWS depuis les applications web Laravel.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Un autre changement concerne l’inclusion de chemins supplémentaires à énumérer pour l’existence de fichiers .env tels que /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env, et /web/.env entre autres.
« Les erreurs de configuration dans les applications Web sont toujours la principale méthode utilisée par Legion pour récupérer les informations d’identification », a déclaré Muir.
« Par conséquent, il est recommandé que les développeurs et les administrateurs d’applications Web examinent régulièrement l’accès aux ressources au sein des applications elles-mêmes et recherchent des alternatives au stockage des secrets dans des fichiers d’environnement. »