
Un nouvel outil de collecte d’informations d’identification et de piratage SMTP basé sur Python nommé « Legion » est vendu sur Telegram qui cible les services de messagerie en ligne pour les attaques de phishing et de spam.
Legion est vendu par des cybercriminels qui utilisent le surnom de « Forza Tools » et exploitent une chaîne YouTube avec des tutoriels et une chaîne Telegram avec plus d’un millier de membres.

Legion est un logiciel malveillant modulaire qui, selon Cado, est probablement basé sur le logiciel malveillant AndroxGhOst et propose des modules pour effectuer l’énumération des serveurs SMTP, l’exécution de code à distance, exploiter les versions vulnérables d’Apache, forcer les comptes cPanel et WebHost Manager, interagir avec l’API de Shodan et abuser des services AWS.
L’outil cible de nombreux services pour le vol d’informations d’identification, notamment Twilio, Nexmo, Stripe/Paypal (fonction d’API de paiement), les informations d’identification de la console AWS, AWS SNS, S3 et SES spécifiques, Mailgun et les plates-formes de base de données/CMS.

Outre l’extraction d’informations d’identification et la violation de services Web, Legion peut également créer des utilisateurs administrateurs, implanter des webshells et envoyer des SMS de spam aux clients des opérateurs américains.
Identifiants de récolte
Legion cible généralement les serveurs Web non sécurisés exécutant des systèmes de gestion de contenu (CMS) et des frameworks basés sur PHP comme Laravel en utilisant des modèles RegEx pour rechercher des fichiers connus pour contenir des secrets, des jetons d’authentification et des clés API.
L’outil utilise un éventail de méthodes pour récupérer les informations d’identification des serveurs Web mal configurés, comme le ciblage des fichiers de variables d’environnement (.env) et les fichiers de configuration pouvant contenir les informations d’identification SMTP, AWS console, Mailgun, Twilio et Nexmo.

En plus de tenter de récolter les informations d’identification AWS, Legion propose également un système de force brute pour les deviner.
Cependant, Cado commente qu’il est statistiquement peu probable que ce système puisse générer des informations d’identification utilisables dans son état actuel. Une fonctionnalité similaire est incluse pour le forçage brutal des informations d’identification SendGrid.

Quelle que soit la manière dont les informations d’identification sont obtenues, Legion les utilisera pour accéder aux services de messagerie et envoyer des spams ou des e-mails de phishing.
Si Legion capture des informations d’identification AWS valides, il tente de créer un utilisateur IAM nommé « ses_legion » et définit la politique pour lui donner des droits d’administrateur, donnant à l’utilisateur malveillant un accès complet à tous les services et ressources AWS.

Legion peut également envoyer des spams par SMS en exploitant les informations d’identification SMTP volées après avoir généré une liste de numéros de téléphone avec des indicatifs régionaux récupérés à partir de services en ligne.
Les opérateurs pris en charge par le logiciel malveillant incluent AT&T, Sprint, US Cellular, T-Mobile, Cricket, Verizon, Virgin, SunCom, Alltel, Cingular, VoiceStream, etc.
Enfin, Legion peut exploiter les vulnérabilités PHP connues pour enregistrer un webshell sur le point de terminaison ciblé ou exécuter du code à distance pour donner à l’attaquant un accès complet au serveur.
En conclusion, Legion est un collecteur d’informations d’identification polyvalent et un outil de piratage qui gagne du terrain dans le monde de la cybercriminalité, augmentant le risque de serveurs Web mal gérés et mal configurés.
Les utilisateurs d’AWS doivent rechercher des signes de compromission, comme la modification du code d’enregistrement de l’utilisateur IAM pour inclure une balise « Owner » avec la valeur « ms.boharas ».