Ngày 24 tháng 5 năm 2023Ravie Lakshmanan Bảo mật máy chủ / Phần mềm độc hại
Phiên bản cập nhật của phần mềm độc hại hàng hóa có tên Legion đi kèm với các tính năng mở rộng nhằm xâm phạm máy chủ ssh và thông tin đăng nhập Dịch vụ web Amazon (AWS) được liên kết với DynamoDB và CloudWatch.
Nhà nghiên cứu Matt Muir của Cado Labs cho biết trong một báo cáo được chia sẻ với The Hacker News: “Bản cập nhật gần đây này cho thấy phạm vi mở rộng, với các khả năng mới như khả năng xâm phạm máy chủ SSH và truy xuất thông tin xác thực bổ sung dành riêng cho AWS từ các ứng dụng web Laravel”.
“Rõ ràng là mục tiêu của nhà phát triển đối với các dịch vụ đám mây đang tăng lên theo từng lần lặp lại.”
Legion, một công cụ hack dựa trên Python, lần đầu tiên được công ty bảo mật đám mây ghi lại vào tháng trước, nêu chi tiết khả năng vi phạm các máy chủ SMTP dễ bị tấn công để thu thập thông tin đăng nhập.
Nó cũng được biết là khai thác các máy chủ web chạy hệ thống quản lý nội dung (CMS), tận dụng Telegram làm điểm đánh cắp dữ liệu và gửi tin nhắn SMS spam đến danh sách các số điện thoại di động được tạo động của Hoa Kỳ bằng cách sử dụng thông tin đăng nhập SMTP bị đánh cắp.
Một bổ sung đáng chú ý cho Legion là khả năng khai thác các máy chủ SSH bằng mô-đun Paramiko. Nó cũng bao gồm các tính năng để truy xuất thông tin xác thực bổ sung dành riêng cho AWS liên quan đến DynamoDB, CloudWatch và AWS Owl từ các ứng dụng web của Laravel.
Một thay đổi khác liên quan đến việc bao gồm các đường dẫn bổ sung để liệt kê sự tồn tại của các tệp .env chẳng hạn như /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env, và /web/.env trong số những người khác.
Muir cho biết: “Cấu hình sai trong các ứng dụng web vẫn là phương pháp chính được Legion sử dụng để truy xuất thông tin đăng nhập.
“Do đó, các nhà phát triển và quản trị viên ứng dụng web nên thường xuyên xem xét quyền truy cập vào tài nguyên trong chính ứng dụng đó và tìm kiếm các giải pháp thay thế để lưu trữ bí mật trong các tệp môi trường.”
