恶意软件变种“Legion”滥用AWS、PayPal、Stripe云进行垃圾邮件攻击 媒体

Legion：SMTP滥用工具引发的安全警报

重点概述

Legion是一款被称为简单邮件传输协议SMTP滥用工具，专门用来扫描Shodan，以识别配置错误的云服务器，然后可能接管SMTP电子邮件营销计划或发起钓鱼攻击。在Cado Security最近的部落格文章中提到，Legion专注于列举易受攻击的SMTP服务器、执行远程代码以及利用易受攻击的Apache版本。该工具目前主要针对19个不同的云服务，包括AWS、PayPal、Stripe和Twilio。

除了电子邮件攻击外，Legion还能发送SMS信息，从而发起基于移动的钓鱼和虚假信息活动，影响范围达到14家不同的电信公司，如ATampT、Sprint、TMobile和Verizon。此外，它还能打包附加功能，这些功能通常在更常见的黑客工具中包含，例如执行特定于网页伺服器的利用代码和暴力破解帐户凭证的能力。

Cado的威胁情报研究员Matt Muir表示，安全管理者可以通过确保环境文件不暴露在公网上来中和Legion的威胁。他解释说：“环境文件是用于存储凭证的文本文件。只要保护好这些文件，Legion就无法发挥作用。管理者必须确保这些文件不位于暴露在互联网上的目录中。”

Muir指出，Cado的研究人员将Legion视为一种新兴的集中于云的凭证收集和垃圾邮件工具的世代。这类工具的开发者经常互相偷取代码，让特定团体进行归属变得困难。在研究过程中，研究人员也意识到Legion与Permiso的Ian Ahl最近分析过的更近期的恶意软件样本有关。Cado因此与Ahl联系，以获取他对此样本的看法，他在最近的部落格中分享了这些见解。

“邮件和SMS滥用对于攻击者来说是一门大生意，”Ahl写道。“我们发现了近十种类似脚本的变体，这些变体经常被贩售用于不法目的。Legion既不是第一个，也不会是最后一个。”

Muir补充说，Legion与一些其他工具有些相似，比如Lacework发现的Andr0xGhost和SentinelOne发现的AlienFox。这些工具经常通过Telegram分发，其功能对于希望进行大规模垃圾邮件或钓鱼操作的用户来说相当具有吸引力。

用于分发Legion的Telegram群组总共拥有约5000名成员。Muir表示，虽然我们可以假设并非所有这些成员都会购买软件的许可证，但显然这类工具的需求已经非常可观。“如果即使只有一半的成员购买许可证并利用SMTP滥用能力进行垃圾邮件或钓鱼活动，我认为假设有数万