Theo các nhà nghiên cứu tại công ty bảo mật đám mây Cado Security, Legion bao gồm các mô-đun để liệt kê các máy chủ SMTP có lỗ hổng bảo mật dễ khai thác, thực hiện các cuộc tấn công thực thi mã từ xa (RCE), khai thác các phiên bản Apache chưa được vá, cũng như các tài khoản cPanel và WebHost Manager (WHM).
Phần mềm độc hại này được cho là có điểm tương đồng với một dòng phần mềm độc hại khác có tên là “AndroxGh0st” - lần đầu tiên được nhà cung cấp dịch vụ bảo mật đám mây Lacework ghi nhận vào tháng 12/2022. Trong một phân tích được công bố vào cuối tháng 3/2023, công ty an ninh mạng SentinelOne đã tiết lộ rằng AndroxGh0st là một phần của bộ công cụ toàn diện có tên “AlienFox” được cung cấp cho phép các tin tặc có thể thực hiện đánh cắp khóa API và khóa bí mật từ các dịch vụ đám mây.
Nhà nghiên cứu bảo mật Matt Muir cho biết: “Legion dường như là một biến thể mới của các công cụ thu thập thông tin xác thực/thư rác trên đám mây. Các nhà phát triển của những công cụ này thường đánh cắp mã của nhau, khiến việc quy kết cho một nhóm cụ thể trở nên khó khăn".
Bên cạnh việc sử dụng Telegram làm điểm đánh cắp dữ liệu, Legion được thiết kế để khai thác các máy chủ web chạy hệ thống quản lý nội dung (CMS), PHP hoặc các nền tảng dựa trên PHP như Laravel. “Legion có thể truy xuất thông tin đăng nhập cho nhiều loại dịch vụ web, chẳng hạn như nhà cung cấp email, nhà cung cấp dịch vụ đám mây, hệ thống quản lý máy chủ, cơ sở dữ liệu và nền tảng thanh toán như Stripe và PayPal”, Cado Security chia sẻ.
Một số dịch vụ được nhắm mục tiêu khác bao gồm SendGrid, Twilio, Nexmo, AWS, Mailgun, Plivo, ClickSend, Mandrill, Mailjet, MessageBird, Vonage, Exotel, OneSignal, Clickatell và TokBox. Mục tiêu chính của phần mềm độc hại này là cho phép các tin tặc chiếm quyền điều khiển dịch vụ và vũ khí hóa cơ sở hạ tầng cho các cuộc tấn công tiếp theo, bao gồm cả việc thực hiện các chiến dịch thư rác và phishing.
Cado Security cho biết họ cũng phát hiện ra một kênh YouTube chứa các video hướng dẫn cách sử dụng Legion, cho thấy công cụ này được phân phối rộng rãi và có khả năng là phần mềm độc hại phải trả tiền. Kênh YouTube này được tạo vào ngày 15/6/2021 và vẫn hoạt động cho đến nay. Hơn nữa, Legion truy xuất truy xuất thông tin đăng nhập AWS từ các máy chủ web không an toàn hoặc bị cấu hình sai và gửi tin nhắn rác SMS tới người dùng mạng di động tại Mỹ như AT&T, Sprint, T-Mobile, Verizon và Virgin.
“Để thực hiện điều này, phần mềm độc hại lấy mã vùng của một tiểu bang của Mỹ do người dùng lựa chọn từ trang web randomphonenumbers.com. Một chức năng để tạo số sau đó được sử dụng nhằm xây dựng danh sách các số điện thoại cần nhắm mục tiêu”, Muir giải thích.
Một khía cạnh đáng chú ý khác của Legion là khả năng khai thác các lỗ hổng PHP nổi tiếng để đăng ký web nhằm truy cập từ xa liên tục hoặc thực thi mã độc. Nguồn gốc của nhà phát triển đứng sau công cụ này, người có bí danh "forzatools" trên Telegram, vẫn chưa được rõ ràng, mặc dù sự hiện diện của các bình luận bằng tiếng Indonesia trong mã nguồn cho thấy rằng nhà phát triển có thể là người nói tiếng Indonesia hoặc đến từ quốc gia này.
Nhà nghiên cứu bảo mật của hãng bảo mật SentinelOne, Alex Delamotte cho biết rằng các phát hiện mới làm nổi bật một số chức năng mới mà trước đây chưa từng thấy trong các mẫu của AlienFox, đồng thời cho biết hai phần mềm độc hại này là hai bộ công cụ riêng biệt. Delamotte giải thích: “Có nhiều tính năng chồng chéo, tuy nhiên các công cụ được phát triển độc lập và việc triển khai hoàn toàn khác nhau. Tôi tin rằng các tin tặc đang xem xét tính năng được phát triển bởi các bộ công cụ khác và triển khai những tính năng tương tự trong các công cụ phát triển của riêng họ”.
Muir cho biết: “Vì phần mềm độc hại chủ yếu dựa vào các cấu hình sai trong các công nghệ và nền tảng máy chủ web như Laravel, nên người dùng các công nghệ này nên xem lại các quy trình bảo mật hiện có của họ và đảm bảo rằng các dữ liệu được lưu trữ ở một nơi an toàn cao”.
Hồng Đạt
(The Hacker News)
10:00 | 15/09/2023
10:00 | 14/04/2023
14:00 | 22/06/2023
10:00 | 30/03/2023
10:00 | 24/04/2024
10:00 | 28/08/2023
13:00 | 04/08/2023
13:00 | 24/08/2022
08:00 | 04/05/2024
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024