专家警告一种名为Legion的新兴基于Python的凭证收集器
Legion是一种新兴的基于Python的凭证收集器和黑客工具,允许操作员侵入各种在线服务。
Cado Lab的研究人员最近发现了一种新的基yuPython的凭证收集器和黑客工具,名为Legion,该工具通过Telegram出售。此时,Cado Labs分析的样本在 VirusTotal上的检出率为0 。
Legion是一种模块化工具,骗子可以利用它侵入各种在线服务。研究人员报告说,该工具具有支持以下功能的模块:
- 枚举易受攻击的SMTP服务器,
- 进行远程代码执行(RCE),
- 利用易受攻击的 Apache 版本,
- 暴力破解 cPanel 和 WebHost Manager (WHM) 帐户,
- 与 Shodan 的 API 交互以检索目标列表(前提是您提供 API 密钥)和
- 额外的实用程序,其中许多涉及滥用 AWS 服务
Legion类似于Lacework研究人员在 12 月详细介绍的工具,该工具被命名为AndroxGh0st。
Cado Labs分析的样本是一个21015行的Python3脚本,它包含了与Twilio和Shodan等服务集成的配置。
该恶意软件可以使用Telegram Bot API通过Telegram聊天泄露收集的数据。
该工具背后的开发者运营着一个名为“Forza Tools”的YouTube频道,其中包含一系列使用Legion脚本的教程视频。专家认为,该工具分布广泛,很可能是付费恶意软件。
Legion利用运行内容管理系统(CMS)、PHP或基于PHP的框架(如Laravel)的Web服务器。
“从这些目标服务器中,该工具使用多种RegEx模式来提取各种Web服务的凭据。其中包括电子邮件提供商、云服务提供商 (AWS)、服务器管理系统、数据库和支付系统(例如 Stripe 和 PayPal)的凭证。通常,这种类型的工具将用于劫持上述服务,并使用基础设施进行大规模垃圾邮件或机会性网络钓鱼活动。”
这些工具还可用于植入webshell,对CPanel或 AWS 账户执行暴力攻击,以及向动态生成的美国手机号码列表发送SMS消息。
“AWS 用户应该了解 Legion 以 IAM 和 SES 等服务为目标。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5585.html
