Использование доверенных протоколов: Gmail как механизм C2

security

Группа исследования угроз Socket выявила использование вредоносных пакетов Python для создания туннеля через Gmail с целью управления утечкой данных и выполнения команд.

Описание

Эти пакеты, такие как Coffin-Codes-Pro и Coffin-Codes-Net2, использовались для установления соединения с SMTP-сервером Gmail и отправки сообщений на определенные адреса электронной почты, обеспечивая работу имплантата и управление каналом команд. Дополнительно, вредоносные пакеты обеспечивают TCP-переадресацию между удаленными и локальными хостами, позволяя злоумышленникам проникать в сеть и выполнять различные действия, такие как передача файлов и сбор учетных данных.

Устранение этих вредоносных пакетов было проведено путем их удаления из индекса пакетов Python (PyPI), что помогло предотвратить их дальнейшее использование для злоумышленных целей. Например, Coffin-Codes-Pro устанавливает соединение с SMTP-сервером Gmail и инициирует WebSocket-соединение для управления туннелем и обмена инструкциями. Аналогично, Coffin-Codes-Net2 также использует SSL-соединение для отправки электронных сообщений с автоматической аутентификацией на SMTP-сервере Gmail, что позволяет атакующему контролировать порты и выполнять действия удаленно.

Эти пакеты представляют риск для безопасности, поскольку злоумышленники могут получать доступ к чувствительным данным, управлять системами и даже продолжать атаки на сеть. Атака на протокол SMTP через Gmail позволяет скрыть вредоносную активность из-за легитимности этого трафика. Однако, благодаря оперативным действиям специалистов по безопасности, эти вредоносные пакеты были обнаружены и удалены, что способствует повышению общей безопасности сетевых инфраструктур и защите от подобных угроз.

Вредоносные пакеты Python:

  • Coffin-Codes-Pro
  • Coffin-Codes-NET2
  • Coffin-Codes-NET
  • Coffin-Codes-2022
  • Coffin2022
  • Coffin-Grave
  • cfc-bsb

Индикаторы компрометации

Комментарии: 0