Legion malware-ի թարմացված տարբերակը գալիս է նոր և ընդլայնված հնարավորություններով՝ վտանգի ենթարկելու SSH սերվերներն ու Amazon Web Services (AWS) հավատարմագրերը, որոնք կապված են DynamoDB-ի և CloudWatch-ի հետ:
«Այս վերջին թարմացումը հստակ ցույց է տալիս ծրագրի շջանակի ընդլայնում՝ համալրված նոր ու կայուն հնարավորություններով, ինչպիսիք են՝ SSH սերվերները վտանգի ենթարկելու և Laravel web-ահենք հավելվածներից լրացուցիչ AWS-ի հավատարմագրերը ստանալու հնարավորությունը», – The Hacker News-ին տված հարցազրույցում նշում է Cado Labs-ի փորձագետ՝ Մեթ Մյուիրը:
Legion-ը, որը Python-ի վրա հիմնված հաքերային գործիք է, առաջին անգամ փաստաթղթավորվել է անցյալ ամիս: Այն մանրամասնել ու բացահայտել է SMTP խոցելի սերվերների աշխատանքը խախտելու իր կարողությունը, որի նպատակը եղել է հավատարմագրերի հավաքագրումը:
Հայտնի է նաև, որ այն օգտագործում է content management համակարգեր (CMS), օգտագործում է Telegram-ը որպես տվյալների արտահանման առանցք և ուղարկում է սպամ SMS հաղորդագրություններ: Արդյունքում օգտագործելով գողացված SMTP հավատարմագրերը՝ գեներացնում է ամերիկական բջջային հեռախոսահամարներ:
Legion-ի ուշագրավ համալրումը նրա SSH սերվերներն օգտագործելու ունակությունն է՝ իհարկե կիրառելով Paramiko մոդուլը: Այն նաև կիրառում է AWS-ին հատուկ հավատարմագրեր ստանալու իր ֆունկցիոնալ կարողությունը՝ կապված DynamoDB-ի, CloudWatch-ի և AWS Owl-ի հետ:
Եվս մեկ փոփոխություն, որը վերաբերում է .env ֆայլերի հետ աշխատանքի ժամանակ ալտերնատիվ ուղիների մշակմանը, ինչպիսիք են՝ /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env, և /web/.env-ը:
«Վեբ հավելվածներում առկա սխալ misconfiguration-ները շարունակում են մնալ այն հիմնական մեթոդը, որոնք օգտագործվում են Legion-ի կողմից՝ հավատարմագրեր ստանալու համար», – նշում է փորձագետ Մուիրը:
Աղբյուրը՝ https://thehackernews.com/