一个新兴的基于Python的凭据收割机和一个名为军团的黑客工具正在通过Telegram销售,作为威胁行为者闯入各种在线服务进行进一步剥削的一种方式。
军团,根据卡多实验室,包括模块列举脆弱的SMTP服务器,进行远程代码执行(RCE)攻击,利用未打补丁的Apache版本,和蛮力cPanel和WebHost管理器(WHM)帐户。
据称,该恶意软件与云安全服务提供商Lacework在2022年12月首次记录的另一个名为AndroxGh0st的恶意软件家族相似。
网络安全公司SentinelOne,在上个月底发表的一份分析报告中透露,AndroxGh0st是一个名为AlienFox的综合工具集的一部分,该工具集提供给威胁者从云服务中窃取API密钥和秘密。
安全研究员MattMuir告诉黑客新闻说:“军团似乎是新一代以云为中心的凭据收割机/垃圾邮件工具的一部分。”“这些工具的开发人员经常盗取对方的代码,使归属于特定组的工作变得困难。”
除了使用Telegram作为数据扩展点之外,LEA还被设计用于开发运行内容管理系统(CMS)、PHP或基于PHP的框架(如Laravel)的Web服务器。
Cado Labs说:“它可以为各种各样的Web服务检索凭据,如电子邮件提供商、云服务提供商、服务器管理系统、数据库以及Stripe和PayPal等支付平台。”
该恶意软件的主要目标是使威胁行为者能够劫持服务和武器化的基础设施进行后续攻击,包括安装大量垃圾邮件和伺机钓鱼运动。
这家网络安全公司表示,他们还发现了一个YouTube频道,其中包含如何使用Legion的教程视频,这表明“该工具被广泛传播,很可能是付费的恶意软件”。YouTube频道创建于2021年6月15日,至今仍处于活跃状态。
此外,Legion从不安全或配置错误的Web服务器中检索AWS凭据,并将垃圾短信发送给AT&T、Sprint、T-Mobile、Verizon和Virgin等美国移动网络的用户。
“要做到这一点,恶意软件会从网站www.starciphenumbers.com中检索用户选择的美国州的区号,”安全研究员马特·缪尔(Matt Muir)说。“然后使用一个基本的号码生成器功能来建立一个要针对的电话号码列表。”
此外,军团可以从不安全或配置错误的Web服务器中检索AWS凭据,并通过利用被盗的SMTP凭据向AT&T、Sprint、T-Mobile、Verizon和维珍等美国移动网络的用户发送短信垃圾邮件。
穆尔说:“要做到这一点,恶意软件会从网站www.starciphenumbers[.]com检索用户选择的美国州的区号。”“然后使用一个基本的号码生成器功能来建立一个要针对的电话号码列表。”
军团的另一个值得注意的方面是它能够利用众所周知的PHP漏洞注册一个web外壳以进行持久的远程访问或执行恶意代码。
这个工具背后的威胁行为者在电报上的别名是“forzatools”,尽管源代码中有印尼语的评论表明开发人员可能是印度尼西亚人或总部在该国,但这个威胁行为者的来源仍不得而知。
SentinelOne安全研究员亚历克斯·德拉莫特(Alex Delamotte)告诉“黑客新闻”(Hacker News),最新的发现“突出了以前在AlienFox示例中没有看到的一些新功能”,这两款恶意软件是两个截然不同的工具集。
Delamotte解释说:“有许多特性重叠,但是工具是独立开发的,实现也各不相同。”“我相信演员们正在练习他们自己的商业智能,观察其他工具集开发的功能,并在自己的工具中实现类似的功能。”
Muir说:“由于这种恶意软件在很大程度上依赖于Laravel等Web服务器技术和框架中的错误配置,因此建议这些技术的用户审查他们现有的安全流程,并确保机密得到适当的存储。”