マルウェア開発者が Legion ハックツールを更新し、機能を強化 from securityboulevard.com
security summary
Legion を発見した Cado Labs の研究者らはブログ投稿で、Telegram や公開グループやチャネルで販売されている Legion ハックツールは、設定が間違っている Web サーバーから認証情報を収集し、それらの認証情報を電子メールの悪用に使用しているとブログ投稿で述べました。
このマルウェアは、Parmiko ライブラリを使用して Python 内で認証情報を使用します。
研究者らによると、環境変数ファイルに対して実行された検索により、「マルウェアが資格情報を取得しようとしているサービス」が判明したという。
「これはまさに、Legion として知られるクラウド資格情報収集ツールの最近のアップデートで起こったことです。」
Cado 氏は、「この最近のアップデートは、SSH サーバーを侵害し、Laravel Web アプリケーションから追加の AWS 固有の認証情報を取得する機能など、新機能による範囲の拡大を示しています。開発者のクラウド サービスのターゲットが反復ごとに進歩していることは明らかです」と警告しました。
「たとえば、ツールが資格情報を検索する場合は、システムに資格情報をハードコーディングするのをやめてください。それができない場合は、その資格情報に関連する予期しないアクティビティを追跡してください」と同氏は述べました。
コメント