PYTA31组织持续扰乱PyPI存储库从而传播WhiteSnake窃取程序

2023年 9月 21日 63.7k 0

五月份, 我们对 PYTA31 发出了警报,PYTA31 是一种传播“WhiteSnake”恶意软件的高级持续威胁行为者。从那时起,我们一直在严格监控该组织,该组织从 4 月到 8 月中旬一直活跃,分发带有“WhiteSnake 恶意软件”的恶意 PyPI 软件包。

WhiteSnake Malware,也称为“WhiteSnake Stealer”,于 2022 年初首次出现在黑客论坛上。其主要目标:从各种浏览器和应用程序中窃取数据。

关键点

1、从 4 月到 8 月中旬,威胁发起者 PYTA31 通过 PyPI 存储库中的恶意包持续分发“WhiteSnake”恶意软件。

2、该恶意软件具有针对多个操作系统的能力。

3、 该恶意软件使用复杂的渗透机制,通过文件共享服务上传和发送大量数据,并使用电报通道发送数据链接以避免检测。

4、该恶意软件还会下载合法的 OPENSSH,连接到serveo.net 以保持对 Windows 计算机的控制。

5、该恶意软件的最终目标是通过多个命令和控制 (C2) 服务器从目标计算机中窃取敏感数据,尤其是加密钱包数据。

6、Checkmarx 的供应链情报客户可以免受这些攻击。

剖析恶意负载

恶意代码巧妙地隐藏在包的 setup.py 文件中。它采用 Base64 编码,旨在在受害者计算机上安装后执行特定于操作系统的代码。

Linux 特定代码

针对 Linux 系统的代码旨在隐藏其意图,不让普通开发人员了解代码的用途。

使用混淆

代码充满了单字母变量和复杂的函数。然而,仔细观察就会发现其恶意意图:未经授权的数据收集、系统信息收集以及数据上传到远程服务器。

我们清理了这个脚本,使其更具可读性和更容易理解,让我们回顾一下这个脚本的主要部分:

平台特殊性:

该脚本验证它是否在 Linux 系统上运行。如果没有,它就会退出,将其操作限制在预期目标上。

系统信息收集:

该脚本继续收集基本系统详细信息,例如目标的公共 IP 地址、互联网服务提供商 (ISP)、用户名、计算机名称和操作系统。如果它检测到某些 ISP,例如 Google 或 Mythic Beasts,它会立即终止 - 可能是一种反分析技术。如果可能,该脚本还会截取目标计算机当前状态的屏幕截图。

有针对性的数据盗窃:

该脚本使用硬编码的 XML 命令来指定要窃取的文件或目录。这包括浏览器数据、应用程序配置和加密货币钱包文件。

数据加密和压缩:

收集到的数据在泄露之前会被压缩和加密,以试图逃避基本的安全机制。

PYTA31组织持续扰乱PyPI存储库从而传播WhiteSnake窃取程序-1

通过 Telegram 上传数据和通知:

然后,zip 存档通过简单的文件共享服务 Transfer.sh上传到外部服务器。它对这些存档使用以下命名机制:  {用户名} @{主机名}.wsr

最后,一条 Telegram 消息被发送到指定的 Telegram 聊天室,通知他们数据已准备好下载。该消息包含已上传数据的唯一 URL。

窗口特定代码

如果运行该软件包的系统是 Windows NT 计算机,则该软件包会在当前用户的临时文件夹中创建一个随机目录,并生成一个包含预先编写的代码的 Windows 可执行文件,并为其提供一个长而复杂的名称,然后执行该文件。包之一中的此实现示例:“e8d74164335ac04bb4abef4671e98ef.exe”。

在这里,恶意软件采用了与 Linux 特定代码类似的策略,但有一些细微的差别:

1、它创建一个计划任务,以固定的时间间隔运行恶意可执行文件。

2、它使用“[serveo.net]( http://serveo.net/) ”下载 OPENSSH 的官方副本,用于端口转发受感染主机的本地端口 80 。

3、收集到的信息以“.wsr”扩展名进行 zip 存档,然后按以下格式上传到远程 URL:http://{ip-address}:{port}/{archive_name}.wsr。(示例: http ://81.24.11.40:8080/LdBzv_azure%40AZURE-PC_report.wsr )

结论

这一事件重申了在审查开源软件包时必须保持警惕。这也再次凸显了对手持续进行精心策划的长期攻击。我们不只是处理包裹问题。我们正在处理一个对手的问题。

单纯的反应性对策(例如删除恶意软件包)只能暂时缓解问题。需要采取更主动、更复杂的策略来防范这些持续不断的威胁。

IOC

195[.]201[.]135[.]141
135[.]181[.]98[.]45
141[.]95[.]160[.]216
81[.]24[.]11[.]40
51[.]178[.]53[.]191
46[.]226[.]106[.]173
5[.]135[.]9[.]248
hxxps[:]//api.telegram[.]org/bot6414966437:AAHtThsoeAj36fZY4941ZVfnzRpMQXVXz_Y
e0ab9cb803607ae567be2c05100b818c90f21161918ea5a55b999f88d0b99e94
46dfc336088c6f5f725c0909ed32dbb8a5fcb70b045fea43d3c5e685322d492f
1090a8d1ba7d8464488d6810e8a71d34f6e00d8a9611382319ef69112382561e

转载来源:https://checkmarx.com/blog/threat-actor-continues-to-plague-the-open-source-ecosystem-with-sophisticated-info-stealing-malware/

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论