Beveiligingsonderzoekers ontdekten een "mysterieus" kwaadaardig Python-pakket dat de Cobalt Strike-malware downloadt op Windows, Linux, en macOS-systemen.
genaamd "pymafka,” het pakket doet zich voor als de legitieme populaire bibliotheek PyKafka, een programmeervriendelijke Kafka-client voor Python. Volgens Sonatype-onderzoekers, het kwaadaardige pakket is ongeveer gedownload 300 tijden.
![Kwaadaardig Python-pakket [pymafka] Drops Cobalt Strike op macOS, Windows en Linux](https://cdn.sensorstechforum.com/wp-content/uploads/2022/03/advanced-persistent-threat-malware-backdoor-sensorstechforum-1024x585.jpg)
“Op 17 mei, een mysterieuze 'pymafka'’ pakket verscheen in het PyPI-register. Het pakket werd kort gemarkeerd door de geautomatiseerde malwaredetectiemogelijkheden van het Sonatype Nexus-platform,”Aldus de onderzoekers.
Wat zit er in het kwaadaardige pymafka-pakket??
Het allereerste dat u moet opmerken over het kwaadaardige pymafka-pakket is dat het in staat is om het besturingssysteem te detecteren om de juiste malwarevariant te downloaden. De campagne laat de bekende Cobalt Strike-trojan vallen. De malware is populair onder rode teams en ethische hackers voor het simuleren van echte cyberaanvallen, maar het is ook gebruikt door cybercriminelen. Bijvoorbeeld, de LockBit ransomware-bende het is bekend dat het het Cobalt Strike-baken gebruikt om zijn slachtoffers te infecteren.
Op Windows-systemen, in het bijzonder, het pakket probeert het Cobalt Strike-baken bij 'C . te laten vallen:\GebruikersOpenbaariexplorer.exe', wat een spelfout is van het legitieme Internet Explorer-proces (iexplore.exe).
“De kwaadaardige uitvoerbare bestanden die worden gedownload zijn 'win.exe'’ [VirusTotal], en 'MacOS'’ [VirusTotal], met hun namen die overeenkomen met hun doelbesturingssystemen. Beide worden gedownload van het IP-adres 141.164.58[.]147, in opdracht van de cloudhostingprovider, Vultr," het rapport toegevoegd.
De genoemde uitvoerbare bestanden proberen verbinding te maken met een in China gevestigd IP-adres, toegewezen aan Alisoft (Alibaba). Op het moment dat de onderzoekers de monsters inleverden bij VirusTotal, minder dan een derde van de antivirus-engines heeft ze als kwaadaardig gedetecteerd. Het is merkwaardig om dat te vermelden, op het Windows-besturingssysteem, de laadvermogen onderzocht voortdurend de '/updates.rss’ eindpunt en doorgegaan met het verzenden van versleutelde cookie-waarden in verzoeken. Dit gedrag komt overeen met Cobalt Strike-bakens.
Wat betreft Linux-doelen:, het kwaadaardige Pythons-script probeerde een te downloaden en uit te voeren “env” uitvoerbaar vanaf een ander IP-adres dat eigendom is van Alibaba. Al deze ontdekkingen werden gerapporteerd aan het PyPI-register, en het pakket werd kort na de melding verwijderd.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: