Atores de ameaças com ligações com a Coreia do Norte foram observados utilizando pacotes Python envenenados como uma maneira de entregar um novo malware chamado PondRAT como parte de uma campanha em andamento.
PondRAT, de acordo com novas descobertas da Unit 42 da Palo Alto Networks, é avaliado como uma versão mais leve do POOLRAT (também conhecido como SIMPLESEA), um backdoor conhecido para macOS que foi previamente atribuído ao Grupo Lazarus e implantado em ataques relacionados ao comprometimento da cadeia de suprimentos da 3CX no ano passado.
Alguns desses ataques são parte de uma campanha de ataque cibernético persistente apelidada de Operação Dream Job, onde alvos potenciais são atraídos com ofertas de emprego atraentes numa tentativa de induzi-los a baixar o malware.
"Os atacantes por trás desta campanha fizeram o upload de vários pacotes Python envenenados no PyPI, um repositório popular de pacotes Python de código aberto," disse o pesquisador da Unit 42, Yoav Zemah, vinculando a atividade com moderada confiança a um ator de ameaça chamado Gleaming Pisces.
O adversário também é rastreado pela comunidade de cibersegurança mais ampla sob os nomes Citrine Sleet, Labyrinth Chollima, Nickel Academy e UNC4736, um subgrupo dentro do Grupo Lazarus que também é conhecido por distribuir o malware AppleJeus.
Acredita-se que o objetivo final dos ataques seja assegurar acesso aos fornecedores da cadeia de suprimentos através dos pontos de extremidade dos desenvolvedores e subsequentemente obter acesso aos pontos de extremidade dos clientes dos fornecedores, como observado em incidentes anteriores.
A lista de pacotes maliciosos, agora removida do repositório do PyPI, está abaixo:
real-ids (893 downloads)
coloredtxt (381 downloads)
beautifultext (736 downloads)
minisound (416 downloads)
A cadeia de infecção é bastante simples, na medida em que os pacotes, uma vez baixados e instalados nos sistemas dos desenvolvedores, são projetados para executar uma próxima etapa codificada que, por sua vez, executa as versões Linux e macOS do malware RAT após recuperá-los de um servidor remoto.
Análises adicionais do PondRAT revelaram semelhanças tanto com o POOLRAT quanto com o AppleJeus, com os ataques também distribuindo novas variantes Linux do POOLRAT.
"As versões Linux e macOS [do POOLRAT] usam uma estrutura de função idêntica para carregar suas configurações, apresentando nomes de métodos e funcionalidades semelhantes," disse Zemah.
Além disso, os nomes dos métodos em ambas as variantes são notavelmente semelhantes, e as strings são quase idênticas.
Por último, o mecanismo que lida com comandos do [servidor de comando e controle] é quase idêntico.
PondRAT, uma versão mais enxuta do POOLRAT, vem com capacidades para fazer upload e download de arquivos, pausar operações por um intervalo de tempo pré-definido e executar comandos arbitrários.
"A evidência de variantes adicionais do POOLRAT no Linux mostrou que Gleaming Pisces tem aprimorado suas capacidades em ambas as plataformas Linux e macOS," disse a Unit 42.
A armação de pacotes Python com aparência legítima em vários sistemas operacionais representa um risco significativo para as organizações.
A instalação bem-sucedida de pacotes de terceiros maliciosos pode resultar em infecção por malware que compromete uma rede inteira.
A divulgação acontece enquanto a KnowBe4, que foi enganada ao contratar um ator de ameaças da Coreia do Norte como funcionário, disse que mais de uma dúzia de empresas contrataram funcionários da Coreia do Norte ou foram sitiadas por uma multitude de currículos e aplicações falsas submetidas por norte-coreanos esperando conseguir um emprego com suas organizações.
Ela descreveu a atividade, rastreada pela CrowdStrike sob o codinome Famous Chollima, como uma "operação de estado-nação complexa, industrial e escalada" e que ela representa um "risco sério para qualquer empresa com funcionários exclusivamente remotos."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...