Kimlik avı ve spam saldırıları için çevrimiçi e-posta hizmetlerini hedefleyen telgrafta 'Lejyon' adlı yeni bir Python tabanlı kimlik bilgisi hasatçı ve SMTP kaçırma aracı satılıyor.
Lejyon, “Forza Tools” takma adını kullanan ve öğreticilerle bir YouTube kanalı ve binden fazla üyeli bir telgraf kanalı işleten siber suçlular tarafından satılıyor.
Lejyon, CADO'ya göre, muhtemelen AndroxGhost kötü amaçlı yazılımlarına dayanan ve SMTP sunucusu numaralandırmasını, uzaktan kod yürütmeyi, kaba-kuvvetli Apache sürümlerini istismar etmek için modüllere dayanan modüler kötü amaçlı yazılımdır. Kötüye Kullanım AWS hizmetleri.
Araç, Twilio, NEXMO, Stripe/PayPal (ödeme API işlevi), AWS Konsolu Kimlik Bilgileri, AWS SNS, S3 ve SES spesifik, MailGun ve veritabanı/CMS platformları dahil olmak üzere birçok hizmeti kimlik hırsızlığı için hedefler.
Legion, kimlik bilgilerini çıkarmanın ve Web hizmetlerini ihlal etmenin yanı sıra, yönetici kullanıcıları oluşturabilir, web kabukları implantları oluşturabilir ve ABD taşıyıcılarının müşterilerine spam SMS gönderebilir.
Legion, genellikle sırları, kimlik doğrulama jetonlarını ve API anahtarlarını tuttuğu bilinen dosyaları aramak için Regex desenlerini kullanarak içerik yönetim sistemlerini (CMS) ve PHP tabanlı çerçeveleri çalıştıran teminatsız web sunucularını hedefler.
Araç, çevre değişkeni dosyalarını (.env) hedefleme ve SMTP, AWS konsolu, MailGun, Twilio ve NEXMO kimlik bilgilerini içerebilecek yapılandırma dosyalarından yanlış yapılandırılmış web sunucularından kimlik bilgilerini almak için bir dizi yöntem kullanır.
AWS kimlik bilgilerini hasat etmeye çalışmanın yanı sıra, Legion da onları tahmin etmek için kaba bir zorlama sistemine sahiptir.
Bununla birlikte, CADO, bu sistemin mevcut durumunda kullanılabilir kimlik bilgileri oluşturabilmesinin istatistiksel olarak olası olmadığını söylüyor. Benzer bir özellik sendgrid kimlik bilgileri için de dahildir.
Kimlik bilgilerinin nasıl elde edildiğine bakılmaksızın, Legion bunları e -posta hizmetlerine erişmek ve spam veya kimlik avı e -postaları göndermek için kullanacaktır.
Legion, geçerli AWS kimlik bilgilerini yakalarsa, ‘SES_LEGION’ adlı bir IAM kullanıcısı oluşturmaya çalışır ve politikayı, Rogue kullanıcısına tüm AWS hizmetlerine ve kaynaklarına tam erişim sağlayarak yönetici hakları verecek şekilde belirler.
Legion ayrıca, çevrimiçi hizmetlerden alınan alan kodlarına sahip telefon numaralarının bir listesini oluşturduktan sonra çalıntı SMTP kimlik bilgilerinden yararlanarak SMS spam gönderebilir.
Kötü amaçlı yazılım tarafından desteklenen taşıyıcılar arasında AT&T, Sprint, ABD Hücresel, T-Mobile, Kriket, Verizon, Virgin, Suncom, Alltel, Cingüler, VoiceStream ve daha fazlası bulunmaktadır.
Son olarak, Legion, hedeflenen uç noktaya bir web kabuğu kaydetmek için bilinen PHP güvenlik açıklarından yararlanabilir veya saldırgana sunucuya tam erişim sağlamak için uzaktan kod yürütme gerçekleştirebilir.
Sonuç olarak, Legion, siber suç dünyasında çekiş kazanan çok amaçlı bir kimlik bilgisi hasat ve hack aracıdır ve kötü yönetilen ve yanlış yapılandırılmış web sunucuları riskini artırır.
AWS kullanıcıları, “Ms.Boharas” değerine sahip bir “sahip” etiketi içerecek şekilde IAM kullanıcı kayıt kodunu değiştirmek gibi uzlaşma belirtileri aramalıdır.
Github Gizli Tarama Uyarıları Artık tüm genel depolar için mevcut
Amazon Web Hizmetleri Becerilerinizi Bu Eğitim Paketi Anlaşması ile Artırın
FBI, Çerez Operasyonunda Çalıntı Kimlik Bilgileri Piyasası Yaratılışını ele geçirir.
Hacker forumlarında dolaşımda 15 milyardan fazla kimlik bilgisi
Yeni AlienFox Toolkit, 18 Bulut Hizmetleri için Kimlik Bilgileri Çalıyor
Kaynak: Bleeping Computer