云取证和事件响应平台初创公司Cado Security Ltd. 透露了一种名为“Legion”的新型凭证收集器和黑客工具的详细信息。据研究人员称，Legion正在Telegram上出售，旨在利用各种服务滥用电子邮件。据信，该工具与2022年12月首次报告的AndroxGh0st恶意软件家族有关。

使用Telegram销售Legion恶意软件不足为奇，因为流行的消息传递平台经常与非法活动联系在一起。事实上，就在上周，有报道称威胁行为者正在利用Telegram自动执行网络钓鱼攻击，这凸显了该平台在促进网络犯罪活动中的作用。

Legion专门针对运行内容管理系统、PHP或基于PHP的框架的Web服务器。它能够检索各种Web服务的凭据，包括电子邮件提供商、云服务提供商、服务器管理系统、数据库和支付平台（如Stripe Inc.和PayPal Holdings Inc.）。此外，Legion可以劫持SMS消息并妥协Amazon Web Services Inc.凭据。

Legion的一个显着特征是它提供的模块可以枚举易受攻击的 SMTP 服务器、执行远程代码、利用易受攻击的Apache版本以及暴力破解cPanel和WebHost Manager帐户。

它还与Shodan搜索引擎的API交互以检索目标列表，并具有专注于滥用AWS服务的模块。研究人员还强调了Legion向美国所有运营商的移动网络用户发送垃圾短信的能力，这使其有别于其他类似工具。

Legion正在各种Telegram频道上出售，并通过教程视频在YouTube上进行推广，这表明它分布广泛并且可能是付费恶意软件。

虽然恶意软件的来源尚未得到证实，但在印度尼西亚语中发现的评论表明开发者可能是印度尼西亚人或居住在印度尼西亚。GitHub Gist链接指向名为“Galeh Rizky”的用户，其个人资料表明居住在印度尼西亚。

作为预防措施，Cado Security研究人员在他们的报告中建议Laravel等Web服务器技术和框架的用户审查他们现有的安全流程，并确保凭证得到适当存储。

理想情况下，凭证等敏感信息应存储在Web服务器目录之外的.env文件中，以防止未经授权的访问。

Legion的发现凸显了网络安全领域中凭证收集和黑客工具的持续威胁。它提醒组织优先考虑强大的安全措施，并对不断变化的网络威胁保持警惕。

另一方面，使用Telegram作为买卖恶意软件的平台的趋势令人担忧，因为它为网络犯罪分子提供了一种方便和匿名的方式来进行非法活动。