26 stycznia 2023 rRavie LakshmananWykrywanie zagrożeń / Bezpieczeństwo punktów końcowych

Analitycy cyberbezpieczeństwa odkryli nową kampanię ataków opartą na Pythonie, która wykorzystuje trojana zdalnego dostępu (RAT) opartego na Pythonie, aby przejąć kontrolę nad zaatakowanymi systemami od co najmniej sierpnia 2022 r.

„Złośliwe oprogramowanie jest wyjątkowe pod względem wykorzystania WebSockets w celu uniknięcia wykrycia oraz komunikacji i eksfiltracji typu C2” — powiedział Securonix w raporcie udostępnionym The Hacker News.

Złośliwe oprogramowanie, nazwane przez firmę zajmującą się bezpieczeństwem cybernetycznym PY#RATION, oferuje szereg możliwości, które umożliwiają cyberprzestępcom zbieranie poufnych informacji. Późniejsze wersje backdoora również wykorzystują techniki zapobiegające unikaniu ataków, co sugeruje, że jest on aktywnie rozwijany i utrzymywany.

Atak rozpoczyna się od e-maila phishingowego zawierającego archiwum ZIP, które z kolei zawiera dwa pliki skrótów (.LNK), które podszywają się pod obrazy przedniej i tylnej strony pozornie legalnego brytyjskiego prawa jazdy.

Otwarcie każdego z plików .LNK powoduje pobranie ze zdalnego serwera dwóch plików tekstowych, których nazwy są następnie zmieniane na pliki .BAT i potajemnie uruchamiane w tle, podczas gdy obraz wabika jest wyświetlany ofierze.

Z serwera C2 pobierany jest również inny skrypt wsadowy, który został zaprojektowany w celu pobierania dodatkowych ładunków z serwera, w tym pliku binarnego Pythona („CortanaAssistance.exe”). Wybór Cortany, wirtualnej asystentki Microsoftu, wskazuje na próbę zamaskowania szkodliwego oprogramowania jako pliku systemowego.

Wykryto dwie wersje trojana (wersja 1.0 i 1.6), a do nowszej wersji dodano prawie 1000 linii kodu w celu obsługi funkcji skanowania sieci w celu przeprowadzenia rekonesansu zaatakowanej sieci i ukrycia kodu Pythona za warstwą szyfrowania przy użyciu moduł fernetu.

Inne godne uwagi funkcje obejmują możliwość przesyłania plików z hosta do C2 i odwrotnie, rejestrowania naciśnięć klawiszy, wykonywania poleceń systemowych, wyodrębniania haseł i plików cookie z przeglądarek internetowych, przechwytywania danych ze schowka i sprawdzania obecności oprogramowania antywirusowego.

Co więcej, PY#RATION działa jako ścieżka wdrażania większej liczby złośliwego oprogramowania, które składa się z innego narzędzia do kradzieży informacji opartego na języku Python, zaprojektowanego do wysysania danych z przeglądarek internetowych i portfeli kryptowalut.

Pochodzenie ugrupowania cyberprzestępczego pozostaje nieznane, ale natura przynęt phishingowych sugeruje, że zamierzonymi celami mogą być Wielka Brytania lub Ameryka Północna.

„Złośliwe oprogramowanie PY#RATION jest nie tylko stosunkowo trudne do wykrycia, ale fakt, że jest to plik binarny skompilowany w języku Python, czyni go niezwykle elastycznym, ponieważ będzie działać na prawie każdym celu, w tym wariantach systemów Windows, OSX i Linux” — badacze Den Iuzvyk, Tim Peck i Oleg Kolesnikow.

„Fakt, że cyberprzestępcy wykorzystali warstwę szyfrowania Fernet w celu ukrycia oryginalnego źródła, utrudnia wykrycie znanych złośliwych ciągów”.