Группа исследования угроз Socket выявила использование вредоносных пакетов Python для создания туннеля через Gmail с целью управления утечкой данных и выполнения команд.
Описание
Эти пакеты, такие как Coffin-Codes-Pro и Coffin-Codes-Net2, использовались для установления соединения с SMTP-сервером Gmail и отправки сообщений на определенные адреса электронной почты, обеспечивая работу имплантата и управление каналом команд. Дополнительно, вредоносные пакеты обеспечивают TCP-переадресацию между удаленными и локальными хостами, позволяя злоумышленникам проникать в сеть и выполнять различные действия, такие как передача файлов и сбор учетных данных.
Устранение этих вредоносных пакетов было проведено путем их удаления из индекса пакетов Python (PyPI), что помогло предотвратить их дальнейшее использование для злоумышленных целей. Например, Coffin-Codes-Pro устанавливает соединение с SMTP-сервером Gmail и инициирует WebSocket-соединение для управления туннелем и обмена инструкциями. Аналогично, Coffin-Codes-Net2 также использует SSL-соединение для отправки электронных сообщений с автоматической аутентификацией на SMTP-сервере Gmail, что позволяет атакующему контролировать порты и выполнять действия удаленно.
Эти пакеты представляют риск для безопасности, поскольку злоумышленники могут получать доступ к чувствительным данным, управлять системами и даже продолжать атаки на сеть. Атака на протокол SMTP через Gmail позволяет скрыть вредоносную активность из-за легитимности этого трафика. Однако, благодаря оперативным действиям специалистов по безопасности, эти вредоносные пакеты были обнаружены и удалены, что способствует повышению общей безопасности сетевых инфраструктур и защите от подобных угроз.
Вредоносные пакеты Python:
- Coffin-Codes-Pro
- Coffin-Codes-NET2
- Coffin-Codes-NET
- Coffin-Codes-2022
- Coffin2022
- Coffin-Grave
- cfc-bsb