Исследователи Cado Labs недавно столкнулись с появлением хакерского комбайна и инструмента для сбора учетных данных на базе Python под названием Legion, предназначенного для эксплуатации различных сервисов с целью злоупотребления электронной почтой.
Инструмент продается через мессенджер Telegram и включает в себя модули, предназначенные для:
- перечислению уязвимых SMTP-серверов
- проведение удаленного выполнения кода (RCE)
- эксплуатации уязвимых версий Apache
- перебора учетных записей cPanel и WebHost Manager (WHM)
- взаимодействие с API Shodan для получения списка целей (при условии предоставления ключа API) и дополнительные утилиты, многие из которых связаны со злоупотреблением услугами AWS.
Компания Lacework писала в блоге о похожем семействе вредоносных программ еще в декабре 2022 года, которое они назвали AndroxGh0st. Образец, обнаруженный Cado Labs, похоже, связан с AndroxGh0st и на момент написания статьи имеет 0 обнаружений на VirusTotal.
Indicators of Compromise
MD5
- ddc6963f98e57090e0a78559c7212498
- e6d7e34c5b6b7c11201a5bd5ce954762
SHA1
- ceda47dd1aacc515d8bdda04299ab1ebf1ba0d73
- ebdc60f33d22c4256ca6ab4058059db1d618ec11
SHA256
- 42109b61cfe2e1423b6f78c093c3411989838085d7e6a5f319c6e77b3cc462f3
- fcd95a68cd8db0199e2dd7d1ecc4b7626532681b41654519463366e27f54e65a
