MKD-CIRT National Centre for Computer Incident Response
Забележан е нов малициозен софтвер базиран на Python кој има можности за remote access trojan (RAT) за да им овозможи на напаѓачите контрола над пробиените системи.
Наречен PY#RATION од истражувачите во компанијата за анализа на закани Securonix, новиот RAT го користи протоколот WebSocket за да комуницира со серверот за команда и контрола (C2) и да ги ексфилтрира податоците од домаќинот на жртвата.
Технички извештај од компанијата анализира како функционира малициозниот софтвер. Истражувачите забележуваат дека RАТ е активно развиен бидејќи забележале повеќе негови верзии од август кога започна кампањата PY#RATION.
Овој малициозен софтвер исто така беше откриен од MalwareHunterTeam, кој твитна за кампања во август 2022 година.
Малициозниот софтвер PY#RATION се дистрибуира преку фишинг кампања која користи прилози за ZIP-датотеки заштитени со лозинка кои содржат две кратенки .LNK-датотеки маскирани како слики, имено front.jpg.lnk и back.jpg.lnk.
Малициозниот код се извршува и за да контактира со C2 (Pastebin во подоцнежните напади) и да се преземат две .TXT-датотеки („front.txt“ и „back.txt“) кои на крајот се преименувани во BAT датотеки за да се приспособат на извршувањето на малициозниот софтвер.
По лансирањето, малициозниот софтвер креира директориуми „Cortana“ и „Cortana/Setup“ во привремениот директориум на корисникот и потоа презема, отпакува и извршува дополнителни извршни датотеки од таа локација.
Употребата на Cortana, решението за личен асистент на Microsoft на Windows, има за цел да ги прикрие записите на малициозен софтвер како системски датотеки.
Малициозен софтвер Python RAT спакуван во извршна датотека користи автоматски пакувачи како „pyinstaller“ и „py2exe“, кои можат да го претворат кодот на Python во извршни датотеки на Windows кои ги вклучуваат сите библиотеки потребни за негово извршување.
Истражувачите на Securonix изјавија дека малициозниот софтвер „ја користи вградената рамка на Python Socket.IO, која обезбедува функции и за комуникацијата на клиентот и на серверот WebSocket“. Овој канал се користи и за комуникација и за ексфилтрација на податоци.
Предноста на WebSockets е што малициозниот софтвер може истовремено да прима и испраќа податоци од и до C2 преку една TCP конекција користејќи порти кои вообичаено се оставаат отворени во мрежи како 80 и 443.
Аналитичарите забележаа дека хакерите ја користеле истата C2 адреса („169[.]239.129.108“) во текот на нивната кампања, од верзијата на малициозен софтвер 1.0 до 1.6.0.
Според истражувачите, IP адресата не е блокирана на системот за проверка на IPVoid, што покажува дека PY#RATION не е откриен веќе неколку месеци.
Во моментов остануваат нејасни деталите за конкретни кампањи кои го користат овој дел од малициозен софтвер и неговите цели, обемот на дистрибуција и напаѓачите кои стојат зад него.
Securonix објави посебен пост каде што ги наведува IoCs (показатели за компромис) за кампањата PY#RATION.
Извор: BleepingComputer
