Severnokorejski hekerji zastrupljajo Python pakete, da bi napadli uporabnike sistema Linux in MacOS

Severnokorejski hekerji zastrupljajo Python pakete, da bi tarčili uporabnike sistema Linux in MacOS

Raziskovalci Identificirali Novo Zlonamerno Kampanjo s Ponedelovanimi Python Paketi

Raziskovalci so identificirali novo zlonamerno kampanjo, ki cilja na dobavne verige preko okuženih Python paketov. Zlonamerna programska oprema, imenovana PondRAT, je lahka različica prej znanega POOLRAT trojanskega konja (RAT).

Napadalci so te okužene pakete naložili v PyPI repozitorij, z namenom kompromitiranja končnih točk razvijalcev in pridobivanja dostopa do njihovih sistemov strank.

Čeprav so PyPI administratorji medtem odstranili te okužene pakete, kampanja poudarja trajajočo grožnjo napadov na dobavne verige preko odprtokodnih repozitorijev.

Severnokorejski Akteri Groženj: Plemeniti Kos

Plemeniti Kos, severnokorejski akter groženj, cilja na Linux sisteme z uporabo zastrupljenih Python paketov. Zlonamerni Python paketi skupine, naloženi v PyPI pod lažnimi identitetami, dekodirajo in izvedejo kodirano kodo za prenos in zagon Linux RAT-a, imenovanega PondRAT.

Ta RAT je del večje družine zlonamerne programske opreme, povezane s Plemenitim Kosom, in deli podobnosti s prejšnjo macOS zlonamerno programsko opremo, uporabljeno v kampanjah AppleJeus.

Skriti Izvor: Povezave s prejšnjimi grožnjami

Linux različica PondRAT in macOS RAT kupayupdate_stage2 delita pomembne podobnosti v kodi, vključno z enakimi imeni funkcij, kot sta FConnectProxy in AcceptRequest, podobnimi numeričnimi ID-ji ukazov in isto šifrirno kodo.

Te podobnosti močno nakazujejo na skupen izvor ali razvojno linijo, kar kaže na potencialno povezavo med obema akterjema groženj ali družinama zlonamerne programske opreme.

Prilagodljivost in Širitev

Analiza dodatnih macOS vzorcev je razkrila povezavo med macOS različicami PondRAT in zastrupljeno Python kampanjo paketov.

Eden od vzorcev, multi-arch Mach-O binarka, je delil kodo in infrastrukturo z Linux različico PondRAT, kar nakazuje njegovo vlogo kot “payload” v kampanji.

Poleg tega je bil še en vzorec povezan s kampanjo AppleJeus, kar še bolj potrjuje pripis celotne operacije akterju groženj Plemenitemu Kosu.

Podobnosti z Drugimi Grožnjami

Analitiki pri Unit 42 so odkrili novo Linux različico zlonamerne programske opreme POOLRAT, prej znane kot macOS RAT (Remote Access Trojan), ki deli več ključnih podobnosti s svojo macOS različico, kar nakazuje, da gre za prilagoditev, ne pa popolnoma novo zlonamerno programsko opremo.

Linux različica uporablja libcurl za komunikacijo in zapisuje napake v /tmp/xweb_log.md. Obe različici delita enake strukture funkcij za nalaganje konfiguracij, podobna imena metod in skoraj identičen mehanizem za C2 (Command and Control) upravljanje.

PondRAT, poenostavljena različica POOLRAT, ponuja omejen nabor ukazov za oddaljeno upravljanje, kar napadalcem omogoča nalaganje in prenos datotek, preverjanje statusa implanta, začasno zaustavljanje operacij ter izvajanje ukazov z ali brez pridobivanja izhodov.

Medtem ko PondRAT deli nekatere podobnosti s POOLRAT, je njegova funkcionalnost bolj omejena, zaradi česar je lahka možnost za zlonamerne aktivnosti.

Podrobnosti o Kampanji

Severnokorejska skupina Gleaming Pisces APT skupina je bila povezana s kampanjo zastrupljenih Python paketov, pri čemer je uporabljala Linux različico PondRAT kot končno obremenitev, ki deli podobnosti v kodi s POOLRAT, prav tako pripisano Plemenitemu Kosu, kar kaže na njihove razširjene zmožnosti čez Linux in macOS platforme.

Oboroževanje zakonito izgledajočih Python paketov preko več operacijskih sistemov predstavlja pomembno tveganje zaradi njihove prikrite narave in potenciala za široko kompromitacijo omrežij po uspešni namestitvi.

Preberite tudi:

Leave a Reply

Your email address will not be published. Required fields are marked *