23 de septiembre de 2024Ravie Lakshmanan Software Seguridad / Cadena de suministro
Se ha observado que actores de amenazas vinculados a Corea del Norte utilizan paquetes de Python contaminados como medio para distribuir un nuevo malware llamado PondRAT como parte de una campaña en curso.
Los nuevos hallazgos de la Unidad 42 de Palo Alto Networks muestran que PondRAT es una puerta trasera de macOS conocida anteriormente atribuida a Lazarus Group y utilizada en ataques relacionados con la violación de la cadena de suministro de 3CX del año pasado, conocida como POOLRAT (también conocida como SIMPLESEA). versión ligera de.
Algunos de estos ataques son parte de una campaña de ciberataque persistente llamada “Operación Dream Job”, que intenta atraer objetivos potenciales con ofertas de trabajo atractivas y engañarlos para que descarguen malware.
“Los atacantes detrás de este ataque cargaron varios paquetes de Python contaminados en PyPI, un repositorio popular para paquetes de Python de código abierto”, dijo el investigador de la Unidad 42, Yoav Zemah, y agregó que la actividad estaba vinculada a Gleaming. Lo vinculamos con confianza media a un actor de amenazas conocido. como Piscis.
El atacante también está siendo rastreado por la comunidad de ciberseguridad más amplia bajo el nombre UNC4736, un subclúster dentro del Grupo Lazarus que también es conocido por distribuir malware Citrine Sleet, Labyrinth Chollima, Nickel Academy y AppleJeus.
Se cree que el objetivo final del ataque es “obtener acceso al proveedor de la cadena de suministro a través del punto final del desarrollador y luego al punto final del cliente del proveedor, como se observó en incidentes anteriores”.
A continuación se muestra una lista de paquetes maliciosos eliminados del repositorio de PyPI.
La cadena de infección es muy simple: una vez que el paquete se descarga e instala en el sistema del desarrollador, está diseñado para ejecutar la siguiente etapa codificada, que recupera las versiones de Linux y macOS del malware RAT desde un servidor remoto y lo ejecuta.
Un análisis más detallado de PondRAT reveló similitudes tanto con POOLRAT como con AppleJeus, y el ataque también distribuyó una nueva variante Linux de POOLRAT.
“Las versiones de Linux y macOS (POOLRAT) utilizan la misma estructura de funciones para cargar configuraciones y tienen nombres de métodos y funcionalidades similares”, dice Zemah.
“Además, los nombres de los métodos para ambas variantes son sorprendentemente similares y las cadenas son casi idénticas. Finalmente, los mecanismos para procesar comandos del (servidor de comando y control) también son casi idénticos”.
PondRAT, una versión ligera de POOLRAT, incluye funciones como cargar y descargar archivos, pausar operaciones en intervalos de tiempo predefinidos y ejecutar comandos arbitrarios.
“Más evidencia de las variantes de Linux de POOLRAT indica que Gleaming Pisces ha mejorado sus capacidades en las plataformas Linux y macOS”, dijo la Unidad 42.
“La utilización como arma de paquetes Python de apariencia legítima en múltiples sistemas operativos representa un riesgo significativo para las organizaciones. La instalación exitosa de paquetes maliciosos de terceros resulta en infecciones de malware que comprometen toda la red. Existe una posibilidad”.
La revelación se produce después de que KnowBe4, que fue engañada para contratar actores de amenazas norcoreanos como empleados, dijera que más de 10 empresas habían “contratado empleados norcoreanos o habían recibido órdenes de norcoreanos que querían trabajar para sus organizaciones”. en respuesta a las quejas de que la empresa estaba plagada de numerosos currículums y solicitudes presentadas falsos.
La compañía describe la actividad, que CrowdStrike está rastreando bajo el nombre de Famous Chollima, como una “actividad de estado-nación compleja, industrial, a gran escala” que plantea “un riesgo grave para las empresas con empleados que trabajan únicamente de forma remota”. provocar
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/new-pondrat-malware-hidden-in-python.html
