据观察,与朝鲜有联系的威胁行为者使用有毒的 Python 包作为传递名为 PondRAT 的新恶意软件的一种方式,作为正在进行的活动的一部分。
根据 Palo Alto Networks Unit 42 的新调查结果,PondRAT 被评估为 POOLRAT(又名 SIMPLESEA)的轻量级版本,POOLRAT 是一个已知的 macOS 后门,以前被归咎于 Lazarus Group,并部署在与去年 3CX 供应链泄露相关的攻击中。
其中一些攻击是被称为 Operation Dream Job 的持续网络攻击活动的一部分,其中潜在目标被诱人的工作机会引诱,试图诱骗他们下载恶意软件。
“该活动背后的攻击者将几个有毒的 Python 包上传到 PyPI,这是一个流行的开源 Python 包存储库,”Unit 42 研究员 Yoav Zemah 说,并以中等置信度将该活动与名为 Gleaming Pisces 的威胁行为者联系起来。
更广泛的网络安全社区还以 Citrine Sleet、Labyrinth Chollima、Nickel Academy 和 UNC4736 的名义跟踪该对手,后者是 Lazarus Group 内的一个子集群,也以分发 AppleJeus 恶意软件而闻名。
据信,这些攻击的最终目标是“通过开发人员的端点保护对供应链供应商的访问,并随后获得对供应商客户端点的访问权限,正如在以前的事件中观察到的那样。
现在从 PyPI 存储库中删除的恶意包列表如下:
-
真实 IDS -
coloredtxt -
BeautifulText -
MiniSound
感染链相当简单,因为这些软件包一旦下载并安装到开发人员系统上,就会被设计为执行编码的下一阶段,该阶段反过来,在从远程服务器检索 RAT 恶意软件的 Linux 和 macOS 版本后运行它们。
对 PondRAT 的进一步分析揭示了与 POOLRAT 和 AppleJeus 的相似之处,这些攻击还分发了 POOLRAT 的新 Linux 变体。
“[POOLRAT] 的 Linux 和 macOS 版本使用相同的函数结构来加载其配置,具有相似的方法名称和功能,”Zemah 说。
“此外,两种变体中的方法名称非常相似,字符串几乎相同。最后,处理来自 [命令和控制服务器] 的命令的机制几乎相同。
PondRAT 是 POOLRAT 的精简版本,具有上传和下载文件、在预定义的时间间隔内暂停操作以及执行任意命令的功能。
“POOLRAT 的其他 Linux 变体的证据表明,Gleaming Pisces 一直在增强其在 Linux 和 macOS 平台上的能力,”Unit 42 说。
“跨多个操作系统将看起来合法的 Python 包武器化会给组织带来重大风险。成功安装恶意第三方软件包可能会导致恶意软件感染,从而危及整个网络。
在披露这一消息之际,被欺骗雇用了一名朝鲜威胁行为者作为员工,该公司表示,十几家公司“要么雇用了朝鲜员工,要么被朝鲜人提交的大量虚假简历和申请所包围,希望在他们的组织找到工作。
它将 CrowdStrike 以 Famous Chollima 的绰号跟踪的这项活动描述为“复杂的、工业化的、规模化的民族国家行动”,并且它“对任何拥有纯远程员工的公司都构成了严重风险”。
|
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。  |
END
原文始发于微信公众号(信息安全大事件):隐藏在 Python 包中的新 PondRAT 恶意软件以软件开发人员为目标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论