Legion恶意软件侵入网站服务器,窃取数据,向移动用户发送垃圾邮件

一种新型的凭证收集器可以入侵SMTP服务,从各种托管服务和提供商那里窃取数据,并且还可以对使用美国移动运营商的设备发起基于短信的垃圾邮件攻击。这种恶意软件被称为Legion,它利用了SMTP服务的弱密码和配置错误,以及用户的不安全行为,来获取用户的电子邮件、社交媒体、电子商务和其他在线服务的凭证。它还可以利用SMTP服务向美国移动用户发送大量的垃圾短信,包括恶意链接、诈骗信息和广告内容。
Legion恶意软件侵入网站服务器,窃取数据,向移动用户发送垃圾邮件

一些网络威胁行为者正在通过一个Telegram频道出售一种新型的凭证收集器和黑客工具,它可以利用多种基于Web的服务来窃取凭证。此外,它还有一个额外的功能,就是可以对使用美国移动运营商的设备发起基于短信的垃圾邮件攻击,这是研究人员发现的。

Cado Security的研究人员发现了这种基于Python的凭证窃取器,名为Legion,它与AndroxGh0st恶意软件家族和另一种之前发现的恶意软件有关联,他们在今天发布的博客文章中透露了这一点。

研究人员指出,Legion的主要攻击方式是入侵运行内容管理系统(CMS)、PHP或基于PHP的框架(如Laravel)的配置错误的Web服务器。一旦安装,它包含了从服务器上检索凭证的多种方法:通过针对Web服务器软件本身、脚本语言或服务器运行的框架。恶意软件试图请求这些已知包含秘密的资源,解析它们,并将秘密保存到按服务分类的结果文件中,研究人员说。

“其中一个这样的资源是.env环境变量文件,它通常包含了Laravel和其他基于PHP的Web应用程序的特定于应用程序的秘密,”Cado Security的威胁情报研究员Matt Muir在分析中写道。“恶意软件维护了一个可能指向这个文件以及其他Web技术的类似文件和目录的路径列表。”

然后,Legion继续从众多基于Web的来源和服务中窃取凭证——例如电子邮件提供商、云服务提供商、服务器管理系统、数据库和像Stripe和PayPal这样的支付平台,研究人员说。Muir说,Legion还可以暴力破解亚马逊网络服务(AWS)的凭证,这与AndroxGh0st中具有类似功能是一致的,根据Lacework 的研究人员对该恶意软件的分析。

Muir告诉Dark Reading,除了凭证窃取之外,Legion还包括传统的黑客工具功能,可以利用已知的PHP漏洞来注册Webshell或远程执行恶意代码。

“它主要是一个SMTP滥用工具,但它依赖于对配置错误的Web服务进行机会主义地利用来收集凭证以进行滥用,”他说。“它还捆绑了一些更常见的黑客工具中通常存在的额外功能,例如执行特定于Web服务器的利用代码和暴力破解账户凭证。”

正如前面提到的,这种恶意软件有一个独特的方面,就是除了窃取凭证和一般黑客行为之外,它还可以自动向基于美国移动网络用户发送垃圾短信,包括AT&T、Boost Mobile、Cingular、Sprint、Verizon等用户。研究人员指出,这个功能在凭证收集器中很少见,甚至从未见过。

这个功能相当基本:它从网站www.randomphonenumbers.com获取区号,然后尝试不同的数字组合来找到一个可用的电话号码。

“为了获取区号,Legion使用Python的BeautifulSoup HTML解析库,”Muir写道。“然后使用一个简单的数字生成器函数来构建一个要攻击的电话号码列表。”

为了发送短信本身,恶意软件检查由凭证收集模块之一检索的保存的SMTP凭证,他补充道。

通过Telegram(又叫电报,飞机)广泛传播恶意软件

Cado Security的研究人员进入了一个拥有1000多名成员的公开Telegram群组,发现该群组正在分发一种名为Legion的恶意软件,该恶意软件还有一个专门的YouTube频道,其中包含了关于这种恶意软件的教程视频,研究人员说。

这种恶意软件还通过其他Telegram群组进行广告,总共吸引了大约5000名用户。这些因素表明,Legion已经拥有了一批忠实的用户,并且很可能是一种基于永久许可模式的付费产品,Muir说。

“虽然并不是每个成员都会购买Legion的许可证,但这些数字显示了对这样一个工具的兴趣很高,”他在文章中写道。“相关研究表明,这种恶意软件有多个变体,可能有自己的分发渠道。”

虽然研究人员还没有确定Legion的确切来源,但YouTube频道上的一些印尼语评论暗示了开发者可能是印尼人或者来自印尼,并且Telegram群组中对“my13gion”这个用户的引用也提供了一些线索,他们说。

此外,在一个专门用于PHP利用的函数中,一个指向GitHub Gist的链接导向了一个名为Galeh Rizky的用户,他的个人资料显示他可能位于印尼。不过,目前还不清楚Rizky是否是Legion背后的开发者,或者他的代码只是碰巧出现在Cado分析的样本中,研究人员说。

如何缓解和评估Legion的网络风险 

研究人员在博客文章中提供了一些入侵的指示符(IoCs),以及恶意软件针对的美国移动运营商的列表,以帮助组织或设备用户判断他们是否已经被Legion入侵,或者是否可能成为恶意软件的目标。

考虑到恶意软件依赖于Web服务器或框架的配置错误来访问系统,Cado建议组织和其他使用这些技术的用户检查现有的安全流程,并确保秘密被合理地存储。此外,研究人员说,如果凭证存储在.env文件中,这个文件应该在Web服务器目录之外,以便从Web上无法访问。

使用云服务提供商,如AWS和微软Azure的组织,也应该注意他们在这些平台的使用条款下所承担的共同责任义务,以确保他们的Web服务器配置正确,Muir说。他说,如果被恶意软件入侵,“很可能会属于用户在共同责任背景下的职责范围”。

此外,AWS用户还应该注意Legion针对该平台的身份访问管理(IAM)和简单电子邮件服务(SES)的攻击,它试图获取AWS凭证。为了降低这种风险,组织应该注意那些显示IAM用户注册代码发生变化的用户账户,这些代码包含了一个“Owner”标签,其硬编码值为“ms.boharas”,这是恶意软件的一个特征,研究人员说。

推荐阅读:

初始访问经纪人经济:深入探讨暗网黑客论坛

仿okx欧易虚拟币交易所系统平台源码,仿欧易平台登录盗号系统

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20