Эксперты обнаружили хакерский инструмент Legion, основанный на Python. Вредонос продается через Telegram и используется как способ взлома различных онлайн-сервисов для дальнейшей эксплуатации.
По данным исследователей Cado Labs, вредонос имеет модули для перечисления уязвимых SMTP-серверов, проведения атак на удаленное выполнение кода (RCE), эксплуатации непропатченных версий Apache, брутфорса аккаунтов cPanel и WebHost Manager (WHM), а также взаимодействия с API Shodan и злоупотребления сервисами AWS.
Исследователи говорят, что малварь имеет сходство с другим семейством вредоносных программ, AndroxGh0st, которое впервые обнаружено поставщиком услуг облачной безопасности Lacework в декабре 2022 года.
В прошлом месяце компания SentinelOne опубликовала анализ AndroxGh0st, который показал, что вредонос является частью набора инструментов AlienFox, который предлагается преступникам для кражи API-ключей и секретов из облачных сервисов.
«Legion, по-видимому, является частью нового поколения облачных утилит для сбора учетных данных и спама, — говорят эксперты. — Разработчики этих инструментов часто воруют код друг у друга, что затрудняет атрибуцию».
Помимо использования Telegram для извлечения данных, Legion предназначен для взлома веб-серверов с CMS, PHP или фреймворками на базе PHP, такими как Laravel.
«Он способен получать учетные данные для широкого спектра веб-сервисов, таких как поставщики электронной почты, облачных услуг, систем управления серверами, баз данных и платежных платформ, включая Stripe и PayPal», — гласит отчет Cado Labs.
Среди других целевых сервисов: SendGrid, Twilio, Nexmo, AWS, Mailgun, Plivo, ClickSend, Mandrill, Mailjet, MessageBird, Vonage, Exotel, OneSignal, Clickatell и TokBox.
Кроме того, Legion извлекает учетные данные AWS с незащищенных или неправильно сконфигурированных веб-серверов и рассылает SMS-спам пользователям американских операторов, включая AT&T, Sprint, T-Mobile, Verizon и Virgin.
Основная цель малвари — использовать инфраструктуру захваченных сервисов для последующих атак, включая массовые рассылки спама и оппортунистические фишинговые кампании.
Также исследователи обнаружили канал YouTube (созданный 15 июня 2021 года), содержащий обучающие видеоролики по Legion. Специалисты делают вывод, что «инструмент широко распространен и, скорее всего, является платным вредоносным ПО».
Местоположение создателя этого инструмента, который использует ник forzatools в Telegram , остается неизвестным, хотя наличие комментариев на индонезийском языке в коде указывает на то, что разработчик может быть индонезийцем или находиться в этой стране.
