导 读
据观察,与朝鲜有联系的黑客组织在正在进行的活动中使用投毒 Python 包来传播一种名为 PondRAT 的新恶意软件。
根据 Palo Alto Networks Unit 42 的最新发现,PondRAT 被评估为 POOLRAT(又名 SIMPLESEA)的轻量级版本,POOLRAT 是一种已知的 macOS 后门,之前被认为归属于 Lazarus Group,并部署在去年与3CX 供应链入侵相关的攻击中。
其中一些攻击是名为“Operation Dream Job(梦想工作行动)”的APT攻击活动的一部分,该活动以诱人的工作机会引诱潜在目标,试图诱骗他们下载恶意软件。
Unit 42 研究员 Yoav Zemah表示:“此次活动背后的攻击者将几个有毒的 Python 包上传到 PyPI(一个流行的开源 Python 包存储库)。”他有信心将此活动与一个名为 Gleaming Pisces 的攻击者组织联系起来。
网络安全社区还以 Citrine Sleet、Labyrinth Chollima、Nickel Academy 和 UNC4736 等名称追踪该攻击者, UNC4736 是 Lazarus Group 内的一个子集群,也因传播 AppleJeus 恶意软件而闻名。
人们认为,这些攻击的最终目标是“通过开发人员的端点获取对软件供应链供应商的访问权,并随后获得对供应商客户端点的访问权,就像在之前的事件中观察到的那样”。
现已从 PyPI 存储库中删除的恶意软件列表如下:
-
real-ids(下载次数:893)
-
colourtxt(下载381次)
-
beautifultext(下载量 736 次)
-
minisound(416 次下载)
感染链相当简单,因为软件包一旦下载并安装在开发人员系统上,就会被设计为执行编码的下一阶段,然后在从远程服务器检索 RAT 恶意软件的 Linux 和 macOS 版本后运行它们。
对 PondRAT 的进一步分析显示,它与 POOLRAT 和 AppleJeus 有相似之处,并且攻击还传播了 POOLRAT 的新 Linux 变种。
Zemah 表示:“POOLRAT 的 Linux 和 macOS 版本使用相同的函数结构来加载其配置,具有相似的方法名称和功能。”
“此外,两种变体中的方法名称非常相似,字符串几乎相同。响应[C2服务器]的命令机制几乎相同。”
PondRAT 是 POOLRAT 的精简版,具有上传和下载文件、在预定义的时间间隔内暂停操作以及执行任意命令的功能。
Unit 42 表示:“POOLRAT 的其他 Linux 变体的证据表明,Gleaming Pisces 一直在增强其在 Linux 和 macOS 平台上的功能。”
“在多个操作系统中将看似合法的 Python 软件包武器化对组织构成了重大风险。成功安装恶意第三方软件包可能会导致恶意软件感染,从而危及整个网络。”
技术报告:https://unit42.paloaltonetworks.com/gleaming-pisces-applejeus-poolrat-and-pondrat/
新闻链接:
https://thehackernews.com/2024/09/new-pondrat-malware-hidden-in-python.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
黑客利用 GeoServer 漏洞利用 EAGLEDOOR 恶意软件攻击亚太目标
https://thehackernews.com/2024/09/chinese-hackers-exploit-geoserver-flaw.html
谷歌称伊朗在中东电信公司和政府机构中植入后门
https://therecord.media/iran-backdoors-planted-across-middle-east-telecoms-government-orgs
Mandiant 提供线索,帮助发现并阻止朝鲜假冒 IT 员工
https://www.securityweek.com/mandiant-offers-clues-to-spotting-and-stopping-north-korean-fake-it-workers/
隐藏在 Python 软件包中的新型 PondRAT 恶意软件瞄准软件开发人员
https://thehackernews.com/2024/09/new-pondrat-malware-hidden-in-python.html
黑客组织 Twelve 针对俄罗斯实体发动破坏性网络攻击
https://thehackernews.com/2024/09/hacktivist-group-twelve-targets-russian.html
一般威胁事件
General Threat Incidents
新加坡平台 BingX 被盗 4400 多万美元加密货币
https://therecord.media/44-million-stolen-from-crypto-platform-singapore
德国关闭 47 家被网络犯罪分子利用的加密货币交易服务
https://therecord.media/germany-cryptocurrency-exchanges-shut-down-money-laundering
新的 CAPTCHA 攻击针对寻找盗版 PC 游戏的用户
https://www.pcmag.com/news/new-captcha-attack-targets-users-looking-for-pirated-pc-games
修改过的 Kryptina 勒索软件攻击 Linux 系统
https://www.bleepingcomputer.com/news/security/new-mallox-ransomware-linux-variant-based-on-leaked-kryptina-code/
Necro 木马病毒被发现于 Google Play 上的两款 Android 应用程序中,总下载量超过 1100 万次
https://www.securityweek.com/necro-trojan-infects-google-play-apps-with-millions-of-downloads/
漏洞事件
Vulnerability Incidents
严重 FreeBSD 虚拟机管理程序漏洞可使攻击者执行恶意代码
https://cybersecuritynews.com/freebsd-hypervisor-rce-vulnerability/
CERT/CC 警告 Microchip ASF 中存在未修补的严重漏洞
https://www.securityweek.com/cert-cc-warns-of-unpatched-critical-vulnerability-in-microchip-asf/
ESET 修补 Windows、macOS 产品中的权限提升漏洞
https://www.securityweek.com/eset-patches-privilege-escalation-vulnerabilities-in-windows-macos-products/
Versa Networks 修补暴露身份验证令牌的漏洞
https://www.securityweek.com/versa-networks-patches-vulnerability-exposing-authentication-tokens/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):隐藏在 Python 软件包中的新型 PondRAT 恶意软件瞄准软件开发人员
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论