Actualizarea recentă demonstrează o lărgire a scopului, cu capacități noi, cum ar fi abilitatea de a compromite servere SSH și de a obține credențiale AWS specifice din aplicațiile web. Legion, o unealtă de hack bazată pe Python, a fost documentată pentru prima dată în luna trecută de către firma de securitate în cloud, care a detaliat capacitatea sa de a compromite serverele SMTP vulnerabile pentru a recolta credențiale.
Este cunoscut și pentru exploatarea serverelor web care rulează sisteme de gestionare a conținutului (CMS), utilizează Telegram ca punct de exfiltrare a datelor și trimite mesaje SMS nedorite către o listă de numere de telefon mobile din SUA generate dinamic, folosind credențialele SMTP furate.
O adiție semnificativă la Legion este abilitatea sa de a exploata serverele SSH folosind modulul Paramiko. De asemenea, include funcționalități pentru a obține credențiale AWS specifice suplimentare legate de DynamoDB, CloudWatch și AWS Owl din aplicațiile web Laravel.
O altă schimbare se referă la includerea de căi suplimentare pentru a enumera existența fișierelor .env, cum ar fi /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env și /web/.env, printre altele.
Se recomandă dezvoltatorilor și administratorilor de aplicații web să revizuiască în mod regulat accesul la resurse din interiorul aplicațiilor și să caute alternative pentru stocarea secretelor în fișierele de mediu.
Cu amenințările cibernetice în continuă evoluție, este esențial ca organizațiile să fie la curent cu ultimele actualizări ale malware-urilor și să ia măsuri adecvate de securitate pentru a-și proteja activitatea și datele. Revizuirea regulată a politicilor de securitate și formarea personalului în ceea ce privește amenințările cibernetice sunt, de asemenea, elemente cruciale în menținerea securității cibernetice a organizațiilor.