Legion Kimlik Bilgisi Toplama Kötü Amaçlı Yazılımı
Legion Kimlik Bilgisi Toplama Kötü Amaçlı Yazılımı
Python tabanlı Legion kötü amaçlı yazılımı, Endonezyalı bir geliştiriciyle ilişkilendiriliyor. Bulut adli tıp ve olay müdahale platformu girişimi Cado Security Ltd., ” Legion ” adlı bu yeni kötü amaçlı yazılımın detaylarını ortaya çıkardı.
Legion, Telegram üzerinde satılıyor ve e-postaların kötüye kullanılması amacıyla tasarlanmış bir kimlik bilgisi toplama ve bilgisayar korsanlığı aracı olarak hizmet veriyor. Bu aracın, ilk olarak Aralık 2022’de bildirilen AndroxGh0st kötü amaçlı yazılım ailesiyle ilişkilendirildiği düşünülüyor.
Telegram, genellikle yasa dışı faaliyetlerle ilişkilendirildiği için, Legion gibi kötü amaçlı yazılımların satışı için bu platformun kullanılması şaşırtıcı değil. Hatta geçtiğimiz haftalarda, tehdit aktörlerinin Telegram’ı kimlik avı saldırılarını otomatikleştirmek için kullandığı ve platformun siber suç faaliyetlerini kolaylaştırmadaki rolünün vurgulandığı bildirilmişti.
Legion, özellikle içerik yönetim sistemleri, PHP veya PHP tabanlı çerçeveler çalıştıran web sunucularını hedef alıyor. Ayrıca e-posta sağlayıcıları, bulut hizmet sağlayıcıları, sunucu yönetim sistemleri, veritabanları ve ödeme platformları gibi birçok web hizmetinden kimlik bilgilerini çalma yeteneğine sahip. Ayrıca, Legion SMS mesajlarını ele geçirebilir ve güvenlik ihlallerine neden olabilir, hatta Amazon Web Services kimlik bilgilerini bile tehlikeye atabilir.
Legion’ın dikkate değer bir özelliği, savunmasız SMTP sunucularını tarama, uzaktan kod çalıştırma, Apache’nin savunmasız sürümlerinden yararlanma ve cPanel ile WebHost Manager hesaplarına kaba kuvvet uygulama gibi modüllere sahip olmasıdır.
Ayrıca, Shodan Arama Motoru API’si ile etkileşime girerek hedef listelerini alabilir ve AWS hizmetlerinin kötüye kullanılmasına odaklanan modüllere sahiptir. Legion , Amerika Birleşik Devletleri’ndeki mobil ağ kullanıcılarına tüm operatörlerdeki SMS spam mesajları gönderme yeteneğine sahip, bu da onu diğer benzer araçlardan ayırıyor.
Legion, çeşitli Telegram kanallarında satılıyor ve YouTube’da eğitim videoları aracılığıyla tanıtılıyor, bu da onun geniş çapta dağıtıldığını ve muhtemelen ücretli kötü amaçlı yazılım olduğunu gösteriyor.
Kötü amaçlı yazılımın kaynağı tam olarak doğrulanmamış olsa da, Bahasa Endonezya’da bulunan yorumlar, geliştiricinin Endonezyalı veya Endonezya merkezli olabileceğini öne sürmektedir. GitHub Gist bağlantısı, Endonezya’da ikamet ettiğini belirten “Galeh Rizky” adlı bir kullanıcı profiline yönlendiriyor.
Bu tehdit karşısında Cado Güvenlik araştırmacıları, web sunucu teknolojileri ve çerçeveleri gibi güvenlik süreçlerini gözden geçirmenizi ve hassas bilgileri uygun şekilde saklamak için web sunucusu dizinlerinin dışında bir .env dosyası gibi güvenli yerlerde muhafaza edilmesini önermektedir.
Legion’ın ortaya çıkışı, siber güvenlik alanında kimlik bilgisi toplama ve bilgisayar korsanlığı araçlarının sürekli tehdit oluşturduğunu vurguluyor. Kuruluşların sağlam güvenlik önlemlerine öncelik vermesi ve gelişen siber tehditlere karşı dikkatli olması gerektiğini bir kez daha hatırlatıyor.
Ancak Telegram’ın kötü amaçlı yazılımların alım satımı için kullanılması, siber suçlulara yasa dışı faaliyetler için uygun ve anonim bir platform sunması nedeniyle endişe vericidir.