Mã độc PondRAT mới được đính kèm trong Python package nhắm mục tiêu vào các nhà phát triển phần mềm

Mã độc PondRAT mới được đính kèm trong Python package nhắm mục tiêu vào các nhà phát triển phần mềm

Trong một chiến dịch đang diễn ra, các nhà nghiên cứu bảo mật đã theo dõi được các tác nhân đe dọa có liên quan tới Triều Tiên đang triển khai các gói Python được nhúng mã độc có tên là PondRAT.

1. Phân tích tổng quan

PondRAT được cho là một biến thể của POOLRAT, một backdoor macOS từng được sử dụng rộng rãi trong các cuộc tấn công liên quan đến vụ 3CX supply chain attack vào năm ngoái.

Một số Python package độc hại đã được các tác nhân đe doạ đăng tải lên PyPI, một repository nổi tiếng dành cho các Python package. Mục tiêu của các cuộc tấn công này là giành quyền truy cập vào endpoint của các nhà phát triển phần mềm. Sau đây là danh sách các gói độc hại đã bị xóa khỏi repository PyPI:

  • minisound (416 lượt tải)

  • beautifultext (736 lượt tải)

  • coloredtxt (381 lượt tải)

  • real-ids (893 lượt tải)

Các gói độc hại này được thiết kế để chạy các câu lệnh được encoded sau khi chúng được tải xuống và cài đặt trên PC của nạn nhân. Sau đó mã độc phiên bản Linux và macOS của PondRAT được tải xuống từ C2 server. Phương thức này trông có vẻ đơn giản nhưng lại vô cùng hiệu quả.

Các nghiên cứu cho thấy rằng mã độc PondRAT có các đặc điểm tương tự với AppleJeus và POOLRAT. Các hàm được POOLRAT sử dụng giống với PondRAT, với tên phương thức và chức năng tương đương. Cuối cùng, hầu như không có sự khác biệt trong thao tác nhận lệnh từ command-and-control server.

pondrat-malware-infection-chain.png (933×702)

2. Mức độ ảnh hưởng

Mã độc PondRAT khi lây nhiễm vào hệ thống có thể dẫn đến những nguy cơ như:

  • Unauthorized Access: Truy cập trái phép vào PC của nạn nhân.

  • Sensitive Data Theft: Đánh cắp, làm rò rỉ dữ liệu nhạy cảm.

  • Command Execution: Chạy lệnh tuỳ ý, có thể dùng đây di chuyển trong mạng nội bộ, leo thang đặc quyền, khai thác sâu hơn vào hệ thống của nạn nhân.

3. Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống mã độc PondRAT:

  • Sử dụng các biện pháp phòng thủ: Kích hoạt phần mềm antivirus và anti-malware cũng như cập nhật IOCs kịp thời.

  • Cập nhật bản vá: Cập nhật bản vá thường xuyên để kịp thời loại bỏ các phiên bản độc hại hoặc có lỗ hổng.

  • Phân đoạn mạng: Phân đoạn mạng để hạn chế sự lây lan của những kẻ tấn công trong mạng.

  • Giám sát hệ thống: Tăng cường khả năng ghi log và giám sát hệ thống để phát hiện các hoạt động bất thường và truy cập trái phép.

  • Sao lưu dữ liệu: Thường xuyên sao lưu dữ liệu quan trọng và đảm bảo rằng các quy trình sao lưu và phục hồi được thực hiện đầy đủ.

  • Tăng cường nhận thức nhân viên: Không tải xuống các tài liệu đính kèm trong email từ các nguồn không xác định và tuyệt đối không bật macro khi nguồn không đáng tin cậy.

4. IOCs liên quan đến PondRAT

Domain Name

  • jdkgradle[.]com

  • rebelthumb[.]net

URL

MD5

  • 33c9a47debdb07824c6c51e13740bdfe

  • b62c912de846e743effdf7e5654a7605

  • f50c83a4147b86cdb20cc1fbae458865

  • 61d7b2c7814971e5323ec67b3a3d7f45

  • 05957d98a75c04597649295dc846682d

  • ce35c935dcc9d55b2c79945bac77dc8e

  • 6f2f61783a4a59449db4ba37211fa331

  • 4c66950d791ff5d39d53ffcd0b52a64d

SHA-256

  • 973f7939ea03fd2c9663dafc21bb968f56ed1b9a56b0284acf73c3ee141c053c

  • 0b5db31e47b0dccfdec46e74c0e70c6a1684768dbacc9eacbb4fd2ef851994c7

  • 3c8dbfcbb4fccbaf924f9a650a04cb4715f4a58d51ef49cc75bfcef0ac258a3e

  • bce1eb513aaac344b5b8f7a9ba9c9e36fc89926d327ee5cc095fb4a895a12f80

  • bfd74b4a1b413fa785a49ca4a9c0594441a3e01983fc7f86125376fdbd4acf6b

  • cbf4cfa2d3c3fb04fe349161e051a8cf9b6a29f8af0c3d93db953e5b5dc39c86

  • f3b0da965a4050ab00fce727bb31e0f889a9c05d68d777a8068cfc15a71d3703

  • 5c907b722c53a5be256dc5f96b755bc9e0b032cc30973a52d984d4174bace456

SHA-1

  • 7b6e6487b803bbe85d7466b89da51a269fa4fc29

  • 8027c1d1ac0fd7d40ee850119c6d4501fbe75eab

  • 8a030a03570134cee4659b1b1f666f6f48c27fa5

  • 7637ee2925c88110fc15a77c120bf70dc66e84a7

  • 676537b0f7707feae0130bbcbdc881f5b4eb3f03

  • 720e6abf3befb585164450325246fe9cb000268f

  • 6f391d282a37b770abcedd08c4c0e2156076cd8e

  • dd5bb0609b92163d8834a37a517885ce0b512938

5. Tham khảo

  1. Software Developers Targeted by New PondRAT Malware Hiding in Python Packages – Active IOCs

  2. New PondRAT Malware Hidden in Python Packages Targets Software Developers