安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
此前国外某安全网站曝光过一起通过在PYPI网站上传恶意软件包传播CIA勒索病毒攻击事件报道,报道原链接:
https://darkfeed.io/2022/12/09/cia-ransomware-spreading-through-malicious-packages-on-pypi-org/
最近几年安全厂商曝光过多个黑客组织就通过在PYPI网站上传恶意PYPI包进行各种勒索、挖矿、APT等攻击活动。
今天就拿一个此前笔者分析过的攻击案例给大家再科普一下这个基于供应链的攻击手法,各位Python开发人员在从PYPI网站上下载安装模块包的时候,还是得多留意一下,可能一不小心就被勒索、挖矿、APT攻击了。
详细分析
1.从PYPI网站下载requdsts 2.28.1版本的模块包,该样本在VT上此前是免杀状态,如下所示:
2.获取操作系统平台之后,该恶意PYPI包会从服务器上下载相应平台的CIA勒索病毒并执行,如下所示:
3.黑客服务器上存储了各种不同CPU平台的勒索病毒样本,如下所示:
4.勒索病毒运行之后,会从服务器上下载勒索提示背景图片,并修改桌面背景图片,如下所示:
5.黑客留下了TG的联系方式,如下所示:
6.生成的勒索提示信息文件README.txt,勒索价值100美元的BTC、ETH、LTC或XMR等虚拟货币,内容如下所示:
7.同时上传受害者的KEY等相关信息到黑客服务器,如下所示:
威胁情报
总结结尾
安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
如果你对恶意软件威胁情报感兴趣,可以加入笔者的全球恶意软件研究中心专业群,大家一起交流、学习、共同进步。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
原文始发于微信公众号(安全分析与研究):恶意PYPI包传播新型CIA勒索病毒
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论