English
Arabic
French
Spanish
Deutsch
Русский
Исследователи раскрыли новую кампанию атаки с использованием RAT на основе Python. Злоумышленники, получившие название PY#RATION, используют RAT с августа 2022 года, чтобы получить контроль над скомпрометированными системами.
PY#RATION
Согласно Securonix, у RAT есть несколько возможностей, позволяющих собирать конфиденциальную информацию.
- PY#RATION может передавать файлы с зараженного хост-компьютера на его C2-серверы и наоборот.
- Он использует WebSockets, чтобы избежать обнаружения, а также для связи и эксфильтрации C2.
- Кроме того, он захватывает данные буфера обмена, записывает нажатия клавиш, проверяет наличие антивирусного программного обеспечения и выполняет системные команды. Кроме того, RAT извлекает пароли и файлы cookie из веб-браузеров.
PY#RATION функционирует как путь для развертывания большего количества вредоносных программ, которые в этой кампании включали похититель информации на основе Python, созданный для кражи данных из криптовалютных кошельков и веб-браузеров.
Две версии
Были обнаружены две версии (версия 1.0 и 1.6) RAT, причем последняя использует методы защиты от уклонения.
- В более позднюю версию было добавлено около 1000 строк кода для поддержки функций сетевого сканирования для выполнения разведки скомпрометированной сети.
- Кроме того, в этой версии злоумышленники скрывают код Python за слоем шифрования с помощью модуля fernet.
Векторы атаки
Атака начинается с фишингового электронного письма, содержащего ZIP-архив с двумя файлами ярлыков (.LNK). Эти файлы маскируются под лицевые и оборотные изображения водительских прав Великобритании, которые кажутся законными. Характер фишинговых приманок указывает на то, что предполагаемые цели могут быть из Великобритании или Северной Америки.
- При открытии каждого из файлов LNK вы получаете два текстовых файла с удаленного сервера, которые впоследствии переименовываются в файлы BAT. Он скрытно работает в фоновом режиме, а жертве показывается изображение-приманка.
- Далее с сервера C2 загружается еще один пакетный скрипт, предназначенный для получения с сервера дополнительных полезных данных, таких как двоичный файл Python (CortanaAssistance[.]exe).
- Злоумышленники используют Cortana (виртуальный помощник), что является попыткой передать вредоносное ПО как системный файл.
Заключение
Вредоносное ПО PY#RATION разработано с использованием Python, что позволяет ему работать на macOS, Linux и Windows. Кроме того, он использует несколько тактик, таких как шифрование fernet, чтобы избежать обнаружения. Эти факторы делают его универсальной угрозой для нескольких платформ. Для защиты от таких угроз предлагается развернуть политику белого списка приложений, чтобы остановить выполнение неизвестных двоичных файлов.
