Malware Legion, la nuova iterazione ruba credenziali anche dai server SSH esposti

Cado Labs ha scoperto e segnalato ad aprile uno strumento di hacking basato su Python, capace di raccogliere credenziali da server Web SMTP mal configurati.

Lo strumento chiamato “Legion” dai suoi stessi sviluppatori è stato distribuito e commercializzato in vari gruppi e canali pubblici Telegram.

L’ultima iterazione Legion

La recente iterazione di Legion riscontrata dai ricercatori presenterebbe anche la capacità di sfruttare i server SSH utilizzando il modulo Paramiko, l’inclusione di percorsi aggiuntivi da enumerare per l’esistenza di file .env (come /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env, e /web/.env) e una funzionalità per recuperare ulteriori credenziali specifiche di AWS relative a DynamoDB, CloudWatch e AWS Owl dalle applicazioni Web Laravel.

Misure di Mitigazione

Per precauzione, i ricercatori di Cado Labs raccomandano agli utenti di server Web come Laravel di rivedere i processi di sicurezza esistenti, assicurando un’archiviazione appropriata delle credenziali.

È chiaro che il targeting da parte dello sviluppatore dei servizi cloud sta avanzando a ogni iterazione“, conclude Matt Muir ricercatore di sicurezza Cado Labs.

La scoperta di Legion sia di monito per le organizzazioni affinché adottino misure di sicurezza adeguate all’evolversi delle minacce.

Su Salvatore Lombardo 192 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.