Χάκερ που συνδέονται με τη Βόρεια Κορέα χρησιμοποιούν κακόβουλα πακέτα Python ως τρόπο παράδοσης ενός νέου malware που ονομάζεται PondRAT ως μέρος μιας συνεχιζόμενης εκστρατείας.
Δείτε επίσης: Επιθέσεις Clipper malware απειλούν τα crypto-τι μπορείτε να κάνετε
Το PondRAT malware, σύμφωνα με νέα ευρήματα από το Palo Alto Networks Unit 42, εκτιμάται ότι είναι μια πιο ελαφριά έκδοση του POOLRAT (γνωστό και ως SIMPLESEA), ενός γνωστού macOS backdoor, που είχε προηγουμένως αποδοθεί στον Όμιλο Lazarus και είχε αναπτυχθεί σε επιθέσεις που σχετίζονται με την παραβίαση εφοδιαστική αλυσίδα 3CX, πέρυσι.
Μερικές από αυτές τις επιθέσεις αποτελούν μέρος μιας επίμονης εκστρατείας κυβερνοεπιθέσεων που ονομάζεται Operation Dream Job, όπου οι υποψήφιοι στόχοι δελεάζονται με προσφορές εργασίας σε μια προσπάθεια να τους εξαπατήσουν ώστε να κατεβάσουν κακόβουλο λογισμικό.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Οι χάκερ παρακολουθούνται επίσης από την ευρύτερη κοινότητα κυβερνοασφάλειας με τα ονόματα Citrine Sleet, Labyrinth Chollima, Nickel Academy και UNC4736, ως υποομάδα εντός του Ομίλου Lazarus που είναι επίσης γνωστό για τη διανομή του κακόβουλου λογισμικού AppleJeus.
Πιστεύεται ότι ο τελικός στόχος των επιθέσεων είναι «να εξασφαλιστεί η πρόσβαση στους προμηθευτές της εφοδιαστικής αλυσίδας μέσω των τερματικών σημείων των προγραμματιστών και στη συνέχεια να αποκτήσουν πρόσβαση στα τελικά σημεία των πελατών των προμηθευτών, όπως παρατηρήθηκε σε προηγούμενα περιστατικά».
Δείτε ακόμα: SambaSpy Malware: Στοχεύει Ιταλούς χρήστες με phishing emails
Η λίστα των κακόβουλων πακέτων, τα οποία έχουν πλέον αφαιρεθεί από το αποθετήριο PyPI, περιλαμβάνει:
- real-ids (893 λήψεις)
- coloredtxt (381 λήψεις)
- beautifultext (736 λήψεις)
- minisound (416 λήψεις)
Η αλυσίδα μόλυνσης είναι αρκετά απλή καθώς τα πακέτα, αφού ληφθούν και εγκατασταθούν σε συστήματα προγραμματιστών, έχουν σχεδιαστεί για να εκτελούν ένα κωδικοποιημένο επόμενο στάδιο που, με τη σειρά του, εκτελεί τις εκδόσεις Linux και macOS του PondRAT malware μετά την ανάκτησή τους από έναν απομακρυσμένο διακομιστή.
Περαιτέρω ανάλυση του PondRAT αποκάλυψε ομοιότητες τόσο με το POOLRAT όσο και με το AppleJeus, με τις επιθέσεις να διανέμουν επίσης νέες παραλλαγές Linux του POOLRAT.
Το PondRAT malware, μια πιο λιτή έκδοση του POOLRAT, διαθέτει δυνατότητες αποστολής και λήψης αρχείων, παύσης λειτουργιών για προκαθορισμένο χρονικό διάστημα και εκτέλεσης αυθαίρετων εντολών.
Η αποκάλυψη έρχεται καθώς η KnowBe4, η οποία εξαπατήθηκε να προσλάβει έναν Βορειοκορεάτη χάκερ ως υπάλληλο, είπε ότι περισσότερες από δώδεκα εταιρείες «είτε προσέλαβαν Βορειοκορεάτες υπαλλήλους είτε είχαν πολιορκηθεί από ένα πλήθος πλαστών βιογραφικών και αιτήσεων που υποβλήθηκαν από Βορειοκορεάτες ελπίζοντας να βρουν δουλειά στον οργανισμό τους».
Περιέγραψε τη δραστηριότητα, την οποία παρακολουθούσε η CrowdStrike με το όνομα Famous Chollima, ως «σοβαρό κίνδυνο για κάθε εταιρεία με εργαζόμενους μόνο εξ αποστάσεως».
Δείτε επίσης: TeamTNT Malware: Στοχεύει CentOS Servers με τη χρήση Rootkit
Το Remote Access Trojan (RAT), όπως το PondRAT malware, είναι ένας τύπος κακόβουλου λογισμικού που χρησιμοποιείται από εισβολείς για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και έλεγχο στον υπολογιστή ή το δίκτυο του θύματος. Μόλις εγκατασταθεί σε ένα σύστημα στόχο, ένα RAT μπορεί να λειτουργεί αόρατα, επιτρέποντας στον εισβολέα να παρακολουθεί τη συμπεριφορά των χρηστών, να έχει πρόσβαση σε εμπιστευτικές πληροφορίες, να ενεργοποιεί κάμερες web και να χειρίζεται αρχεία ή εφαρμογές. Τα RAT διανέμονται συχνά μέσω phishing emails, κακόβουλων λήψεων ή ευπαθειών λογισμικού. Λόγω της κρυφής φύσης τους, αποτελούν σημαντική απειλή τόσο για μεμονωμένους χρήστες όσο και για οργανισμούς, τονίζοντας τη σημασία των ισχυρών μέτρων κυβερνοασφάλειας για τον εντοπισμό και την πρόληψη τέτοιων εισβολών.
Πηγή: thehackernews
