Legion Malware Upgraded to Target SSH Servers and AWS Credentials
2023/05/24 TheHackerNews — コモディティ・マルウェアの一種である Legion がアップデートされ、DynamoDB/CloudWatch に関連する AWS (Amazon Web Services) の認証情報や、SSH サーバを侵害する機能などが追加された。Cado Labs の研究者である Matt Muir は、「最新のアップデートでは、Laravel の Web アプリからの AWS 固有の認証情報の窃取や、SSH サーバの侵害やなどの、新しい機能が追加されており、攻撃範囲の拡大が示されている」と、The Hacker News と共有したレポートの中で述べている。
Cado Labs は、「クラウド・サービスを標的とする Legion の機能は、アップデートのたびに進化し続けている」と述べている。
Python ベースのハッキング・ツールである Legion は、クラウド・セキュリティ会社の SentinelOne により先月に初めて文書化されたものだ。同社のレポートでは、認証情報を採取するために、脆弱な SMTP サーバに侵入する能力が詳述されている。
Legion は、CMS (Content Management Systems) を実行している Web サーバを悪用し、また、データ流出地点として Telegram を利用している。さらに、盗んだ SMTP 認証情報を悪用して、動的に生成される米国の携帯電話番号のリストに対して、スパム SMS メッセージを送信することでも知られている。
Legion の特筆すべき点は、Paramiko モジュールを使用して、SSH サーバを悪用するという新機能だ。また、Laravel の Web アプリを介して、DynamoDB/CloudWatch/AWS Owl などに関連する、AWS 固有の認証情報を取得する機能も追加されている。
ささに、”env” ファイルの存在を確認するための追加パスである、”/cron/.env”、”/lib/.env”、”/sitemaps/.env”、”/tools/.env”、”/uploads/.env”、”/web/.env” などを取り込むように変更されている。
Muir は、「いまでも Web アプリのミスコンフィグレーションは、Legion が認証情報の取得に悪用する主要な方法だ。したがって、Web アプリの開発者や管理者は、アプリケーション内のリソースへのアクセスを定期的に見直し、環境ファイルに秘密情報を保存することを止めて、その代替手段を探すことを推奨する」と述べている。
Legion マルウェアですが、対クラウド機能を強化して、AWS の認証情報などを狙っているようです。少し関連する話ですが、2022/06/24 の「AWS の機密情報を漏洩させる、迷惑なバックドアつき Python ライブラリ」も、よろしければ、ご参照ください。なお、Legion の名前は、以下の記事に記されていました。
2022/10/10:親ロシア派ハッカー KillNet の DDoS 攻撃
2022/09/27:NullMixer :ユーザーの認証情報窃取
2022/06/30:ロシアのDDoS 攻撃:ノルウェー政府のサイトがダウン
IoT OT Security News 
You must be logged in to post a comment.