PondRAT napada programere preko zlonamjernih Python paketa

Sigurnosni istraživači kompanije Palo Alto Networks Unit 42 su identifikovali novu varijantu zlonamjernog softvera pod nazivom PondRAT. Ova jednostavnija verzija djeli upadljive sličnosti sa svojim prethodnikom, POOLRAT za macOS, posebno u pogledu funkcionalnosti i strukture kôda. Otkriće dodatnih Linux POOLRAT varijanti sugeriše da zlonamjerni akter iza ovog zlonamjernog softvera, Gleaming Pisces, proširuje svoje mogućnosti na Linux i macOS platformama.

PondRAT

PondRAT napada programere preko zlonamjernih Python paketa; Source: Bing Image Creator

PONDRAT

PondRAT, jednostavnija verzija POOLRAT zlonamjernog softvera, identifikovana je kao potencijalna prijetnja organizacijama širom svijeta. Analiza sigurnosnih istraživača je pokazala da rukovalac komandama u uzorcima PondRAT zlonamjernog softvera djeli sličnosti sa POOLRAT zlonamjernim softverom. Vjeruje se da je ovu Linux varijantu razvila sjevernokorejska grupa Gleaming Pisces APT i da služi kao adaptacija njihovog macOS zlonamjernog softvera.

 

Kampanja

Ova kampanja označava produžetak Operation Dream Job, dugotrajnog napora u kojem se zlonamjerni akteri predstavljaju kao regruteri koji nude primamljive prilike za posao kako bi namamili mete da preuzmu zlonamjerni softver. Zlonamjerni akteri iskorišćavaju povjerenje u Python Package Index (PyPI), spremište za Python programere, tako što učitavaju zatrovane pakete dizajnirane da zaraze razvojna okruženja.

Sigurnosni istraživači su su otkrili niz zlonamjernih Python paketa koji su otpremljeni u PyPI skladište, a povezani su sa PondRAT zlonamjernim softverom. Ovi zaraženi paketi su bili prerušeni u legitimne projekte otvorenog kôda i služili su kao kanali za isporuku zlonamjernog PondRAT softvera programerima.

Identifikovana su četiri zatrovana Python paketa u ovoj kampanji i to su su real-ids (893 preuzimanja), coloredtxt (381 preuzimanje), beautifultext (736 preuzimanja) i minisound (416 preuzimanja). Ovi paketi, sada očišćeni, strateški su projektovani da inficiraju razvojna okruženja Python korisnika.

Upotreba ovih zaraženih paketa nije izolovan incident. Zlonamjerni akteri su prethodno ciljali korisnike macOS operativnog sistema značajnim incidentima kao što je napad na 3CX lanac snabdijevanja prošle godine za što je okrivljen Lazarus Group. Sada je Gleaming Pisces APT grupa demonstrirala obrazac korišćenja sličnih taktika, koristeći softverske pakete sa zlonamjernim softverom za infiltriranje u sisteme i prikupljanje osjetljivih informacija.

 

Funkcionalnost

Funkcionalnost PondRAT zlonamjernog softvera je namjerno ograničena u poređenju sa POOLRAT zlonamjernim softverom, što ga čini pogodnim alatom za manje složene napade ili situacije u kojima je skrivenost najvažnija. Međutim, ovo ne umanjuje potencijalnu prijetnju koju PondRAT zlonamjerni softver predstavlja za organizacije u različitim operativnim sistemima.

Analiza je otkrila da i Linux i macOS verzije djele identičnu strukturu funkcija za učitavanje svojih konfiguracija, uključujući slična imena metoda i funkcionalnost. Nagađa se da su Linux verzije pozajmile kôd od macOS zlonamjernog softvera. Ovo ukazuje na nivo sofisticiranosti u procesu razvoja, kao i na zajednički skup resursa između različitih platformi koje koristi ovaj zlonamjerni akter. Ove sličnosti uključuju preklapajuće strukture kôda, identična imena funkcija, ključeve za šifrovanje i slične tokove izvršavanja. Pripisivanje ove kampanje istom zlonamjernom akteru zasniva se na činjenici da je PondRAT blisko povezan sa POOLRAT zlonamjernim softverom, macOS varijantom zlonamjernog softvera.

PondRAT, kao i njegova naprednija varijanta, nudi zlonamjernim akterima set osnovnih mogućnosti. Jedna od njih je mogućnost da zlonamjerni akter preuzme ili otpremi datoteke na kompromitovani sistem. Funkcija otpremanja omogućava zlonamjernim akterima da primjene dodatne zlonamjerne alatke ili skripte, dodatno proširujući svoju kontrolu nad ciljanim uređajem. Nasuprot tome, funkcija preuzimanja dozvoljava zlonamjernom akteru da preuzme podatke sa zaraženog uređaja, potencijalno eksfiltrirajući osjetljive informacije kao što su akreditivi, dokumenti ili druga vrijedna sredstva.

PondRAT zlonamjerni softver ima i mogućnost provjere statusa implantata kako bi se potvrdilo da li ostaje aktivan na kompromitovanom sistemu. Ova funkcija obezbjeđuje da zlonamjerni akter može da zadrži svest o svom prisustvu unutar ciljne mreže i da prilagodi svoju taktiku u skladu sa tim. Ako je potrebno, oni mogu izabrati da pauziraju operacije, što im omogućava da ostanu neotkriveni određeno vreme pre nego što nastave sa aktivnostima.

Jedna od najsvestranijih funkcija koje nudi PondRAT zlonamjerni softver je njegova sposobnost da izvrši komande u ime zlonamjernog aktera. Ova funkcija se može koristiti za pokretanje raznih zlonamjernih skripti ili alata koji dodatno kompromituju ciljani sistem, eskaliraju privilegije ili izvode druge zlonamjerne radnje. Funkcija izvršenja komande takođe uključuje opciju za zlonamjernog aktera da odluči da li želi da preuzme izlaz generisan ovim komandama.

 

ZAKLJUČAK

Postojanje Linux varijanti POOLRAT zlonamjernog softvera ukazuje na to da sjevernokorejska APT grupa, Gleaming Pisces proširuje svoje mogućnosti sa macOS operativnih sistema i na Linux operativne sisteme. Ovaj trend naglašava značajan rizik za organizacije, jer naoružavanje legitimnih Python paketa u više operativnih sistema može dovesti do potencijalnih ugrožavanja bezbjednosti. Ovi napadi predstavljaju velike rizike, jer mogu lako ostati ispod radara i predstavljati izazove za otkrivanje zbog upotrebe naizgled bezopasnih softverskih paketa.

Sama adaptacija PondRAT zlonamjernog softvera za Linux operativne sisteme iz POOLRAT zlonamjernog softvera koji je namijenjen za macOS operativne sisteme sugeriše proširenje mogućnosti Gleaming Pisces APT grupe na širi spektar ciljeva, što predstavlja značajan rizik za organizacije. Zbog toga je za profesionalce i istraživače u sajber bezbjednosti ključno da ostanu na oprezu protiv ovakvih prijetnji i razviju strategije za ublažavanje njihovog uticaja na mreže i sisteme.

 

ZAŠTITA

Kako bi se zaštitile organizacije i korisnici od potencijalnih prijetnji koje predstavlja PondRAT zlonamjerni softver, ključno je primijeniti robusne bezbjednosne mjere i održavati budnost u digitalnom okruženju koje se stalno razvija. Evo nekoliko preporuka koje mogu pomoći da se ojača odbrana organizacije i samih korisnika:

  1. Uvjeriti se da je sav softver, uključujući operativne sisteme, aplikacije i biblioteke, ažuriran najnovijim ispravkama i ažuriranjima. Ovo pomaže u zaštiti od poznatih ranjivosti koje koristi zlonamjerni softver kao što je PondRAT,
  2. Ograničiti privilegije korisnika samo na ono što je neophodno za njihove uloge u organizaciji. Ovo smanjuje površinu napada i smanjuje potencijalnu štetu ako je sistem kompromitovan,
  3. Preuzimati softver samo iz pouzdanih izvora, kao što su zvanična spremišta ili verifikovani dobavljači. Biti oprezan sa internet lokacijama trećih strana koji nude piratske ili nezvanične verzije popularnih aplikacija, koje mogu da sadrže zlonamjerne sadržaje kao što je PondRAT,
  4. Koristite renomirani antivirusni softver da za redovno skeniranje na poznate prijetnje i kao bi se zaštitili sistemi u realnom vremenu. Pored toga, implementirati rješenja za zaštitu krajnjih tačaka koja mogu da otkriju i spriječe izvršenje sumnjivih ili potencijalno štetnih datoteka,
  5. Redovno pratiti mrežni saobraćaj u potrazi za neobičnim obrascima, kao što su prekomjerni prenos podataka ili veze sa nepoznatim IP adresama. Ovo može pomoći da se rano identifikuju potencijalna ugrožavanja i omogući brz odgovor,
  6. Koristiti jake lozinke, autentifikaciju u više koraka (eng. multi-factor authentication – MFA) i druge bezbjednosne mjere da bi se zaštitio pristup sistemima. Redovno pregledati i ažurirati akreditive kako bi se smanjio rizik od neovlaštenog pristupa,
  7. Obučiti zaposlene o uobičajenim sajber prijetnjama, kao što su phishing napadi, taktike društvenog inženjeringa i bezbjedne internet prakse. Podstaknuti kulturu svesti o bezbjednosti u organizaciji da bi se spriječili uspješni napadi,
  8. Osigurati da se kritični podaci redovno snimaju pravljenjem rezervne kopije i bezbjedno čuvaju van mreže ili u oblaku koristeći šifrovane rezervne kopije. Ovo pomaže da se smanji potencijalna šteta od ransomware zlonamjernog softvera, koji se može isporučiti kao dio PondRAT infekcije,
  9. Razvijte Plan odgovora na sajber prijetnju kako bi se osiguralo da organizacija može brzo da reaguje na bezbjednosne incidente i ograniči njihov uticaj. Redovno pregledati i ažurirati ovaj plan kako bi mogao odgovoriti na najnovije prijetnje i najbolje prakse u sajber bezbjednosti.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.