Массовое распространение вредоносного инструмента «Legion» - как ваша цифровая жизнь становится игрушкой для киберпреступников

Новый хакерский инструмент на основе Python под названием «Legion» продаётся через Telegram любому желающему киберпреступнику для начальной компрометации целевых систем и сбора учётных данных.

Legion - это модульная вредоносная программа, которая, по данным Cado Labs, скорее всего, основана на вредоносном ПО AndroxGhOst и содержит модули для перебора SMTP-серверов, удаленного выполнения кода, использования уязвимых версий Apache, перебора учётных записей cPanel и WebHost Manager, взаимодействия с API Shodan и злоупотребления сервисами AWS.

Компания SentinelOne в своём анализе , опубликованном в конце прошлого месяца, предположила, что AndroxGh0st является частью комплексного набора инструментов под названием AlienFox , который предлагается злоумышленникам для кражи API-ключей и прочих полезных данных из облачных сервисов. Однако «разработчики подобных инструментов часто используют код друг друга, что затрудняет отнесение программ к определенной группе».

«Legion может получать учётные данные из широкого спектра веб-сервисов, например, от поставщиков электронной почты, облачных услуг, систем управления серверами, баз данных и платежных платформ, таких как Stripe и PayPal», — сообщили специалисты Cado Labs.

Основная цель вредоносного ПО — позволить злоумышленникам захватить службы и использовать целевую инфраструктуру для последующих атак, включая массовый спам и целенаправленные фишинговые кампании.

Исследователи даже обнаружили общедоступный YouTube-канал «Forza Tools» с десятками обучающих видеороликов о том, как правильно использовать Legion. «По всей видимости, инструмент широко распространен и является платным вредоносным ПО», — решили исследователи.

Обычно Legion нацелен на незащищенные веб-серверы, работающие под управлением систем управления контентом (CMS) и фреймворков на основе PHP, таких как Laravel, используя шаблоны регулярных выражений для поиска файлов, которые, как известно, содержат токены аутентификации и API-ключи и другие критические данные.

Legion также может получать учётные данные AWS с небезопасных или неправильно настроенных веб-серверов и доставлять SMS-спам пользователям мобильных сетей США, таких как AT&T, Sprint, T-Mobile, Verizon и Virgin, используя украденные учётные данные SMTP.

Происхождение злоумышленника, разработавшего инструмент, остаётся неизвестным, хотя наличие комментариев на индонезийском языке в исходном коде указывает на то, что разработчик может быть индонезийцем.

«Поскольку использование Legion в значительной степени зависит от неправильных конфигураций в технологиях и средах веб-серверов, таких как Laravel, пользователям этих технологий рекомендуется пересмотреть свои существующие процессы безопасности и убедиться, что важные данные хранятся надлежащим образом», — заключили специалисты Cado Labs.