セキュリティ研究者は、WindowsにCobaltStrikeマルウェアをダウンロードする「謎の」悪意のあるPythonパッケージを検出しました, Linux, およびmacOSシステム.
「pymafka」と呼ばれる,」パッケージは、合法的な人気のあるライブラリPyKafkaになりすます, Python用のプログラマー向けのKafkaクライアント. ソナタイプの研究者によると, 悪意のあるパッケージはおよそダウンロードされています 300 時間.
![悪意のあるPythonパッケージ [ピマフカ] macOSでコバルトストライクをドロップ, WindowsとLinux](https://cdn.sensorstechforum.com/wp-content/uploads/2022/03/advanced-persistent-threat-malware-backdoor-sensorstechforum-1024x585.jpg)
「5月17日, 神秘的な'pymafka’ パッケージがPyPIレジストリに表示されました. パッケージは、SonatypeNexusプラットフォームの自動マルウェア検出機能によってまもなくフラグが立てられました,」研究者は言った.
悪意のあるpymafkaパッケージの中身?
悪意のあるpymafkaパッケージについて最初に注意することは、正しいマルウェアの亜種をダウンロードするためにオペレーティングシステムを検出できることです。. キャンペーンは、有名なCobaltStrikeトロイの木馬を削除します. このマルウェアは、実際のサイバー攻撃をシミュレートするためのレッドチームや倫理的ハッカーの間で人気があります, でもそれは サイバー犯罪者によっても使用されます. 例えば, LockBitランサムウェアギャング 犠牲者に感染するためにコバルトストライクビーコンを使用することが知られています.
Windowsシステムの場合, 具体的には, パッケージは'Cでコバルトストライクビーコンをドロップしようとします:\Users Public iexplorer.exe ', これは、正当なInternetExplorerプロセスのスペルミスです。 (iexplore.exe).
「ダウンロードされている悪意のある実行可能ファイルは'win.exeです。’ [VirusTotal], および'MacOS’ [VirusTotal], ターゲットオペレーティングシステムに対応する名前で. これらは両方ともIPアドレスからダウンロードされます 141.164.58[.]147, クラウドホスティングプロバイダーからの委託, Vultr,」 レポートが追加されました.
上記の実行可能ファイルは、中国ベースのIPアドレスへの接続を試みます, Alisoftに割り当てられました (アリババ). 当時、研究者はサンプルをVirusTotalに提出しました, ウイルス対策エンジンの3分の1未満が、それらを悪意のあるものとして検出しました. それについて言及するのは不思議です, WindowsOSの場合, the ペイロード '/updates.rssを継続的に調査しました’ エンドポイントとリクエストで暗号化されたCookie値の送信を継続. この動作は、コバルトストライクビーコンと一致しています.
Linuxターゲットについて, 悪意のあるPythonスクリプトがダウンロードして実行しようとしました “環境” 別のAlibabaが所有するIPアドレスから実行可能. これらの発見はすべてPyPIレジストリに報告されました, 報告の直後にパッケージが削除されました.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: