Mã độc PondRAT mới được đính kèm trong Python package nhắm mục tiêu vào các nhà phát triển phần mềm
Trong một chiến dịch đang diễn ra, các nhà nghiên cứu bảo mật đã theo dõi được các tác nhân đe dọa có liên quan tới Triều Tiên đang triển khai các gói Python được nhúng mã độc có tên là PondRAT.
1. Phân tích tổng quan
PondRAT được cho là một biến thể của POOLRAT, một backdoor macOS từng được sử dụng rộng rãi trong các cuộc tấn công liên quan đến vụ 3CX supply chain attack vào năm ngoái.
Một số Python package độc hại đã được các tác nhân đe doạ đăng tải lên PyPI, một repository nổi tiếng dành cho các Python package. Mục tiêu của các cuộc tấn công này là giành quyền truy cập vào endpoint của các nhà phát triển phần mềm. Sau đây là danh sách các gói độc hại đã bị xóa khỏi repository PyPI:
minisound (416 lượt tải)
beautifultext (736 lượt tải)
coloredtxt (381 lượt tải)
real-ids (893 lượt tải)
Các gói độc hại này được thiết kế để chạy các câu lệnh được encoded sau khi chúng được tải xuống và cài đặt trên PC của nạn nhân. Sau đó mã độc phiên bản Linux và macOS của PondRAT được tải xuống từ C2 server. Phương thức này trông có vẻ đơn giản nhưng lại vô cùng hiệu quả.
Các nghiên cứu cho thấy rằng mã độc PondRAT có các đặc điểm tương tự với AppleJeus và POOLRAT. Các hàm được POOLRAT sử dụng giống với PondRAT, với tên phương thức và chức năng tương đương. Cuối cùng, hầu như không có sự khác biệt trong thao tác nhận lệnh từ command-and-control server.
2. Mức độ ảnh hưởng
Mã độc PondRAT khi lây nhiễm vào hệ thống có thể dẫn đến những nguy cơ như:
Unauthorized Access: Truy cập trái phép vào PC của nạn nhân.
Sensitive Data Theft: Đánh cắp, làm rò rỉ dữ liệu nhạy cảm.
Command Execution: Chạy lệnh tuỳ ý, có thể dùng đây di chuyển trong mạng nội bộ, leo thang đặc quyền, khai thác sâu hơn vào hệ thống của nạn nhân.
3. Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống mã độc PondRAT:
Sử dụng các biện pháp phòng thủ: Kích hoạt phần mềm antivirus và anti-malware cũng như cập nhật IOCs kịp thời.
Cập nhật bản vá: Cập nhật bản vá thường xuyên để kịp thời loại bỏ các phiên bản độc hại hoặc có lỗ hổng.
Phân đoạn mạng: Phân đoạn mạng để hạn chế sự lây lan của những kẻ tấn công trong mạng.
Giám sát hệ thống: Tăng cường khả năng ghi log và giám sát hệ thống để phát hiện các hoạt động bất thường và truy cập trái phép.
Sao lưu dữ liệu: Thường xuyên sao lưu dữ liệu quan trọng và đảm bảo rằng các quy trình sao lưu và phục hồi được thực hiện đầy đủ.
Tăng cường nhận thức nhân viên: Không tải xuống các tài liệu đính kèm trong email từ các nguồn không xác định và tuyệt đối không bật macro khi nguồn không đáng tin cậy.
4. IOCs liên quan đến PondRAT
Domain Name
jdkgradle[.]com
rebelthumb[.]net
URL
talesseries[.]com/write.php
MD5
33c9a47debdb07824c6c51e13740bdfe
b62c912de846e743effdf7e5654a7605
f50c83a4147b86cdb20cc1fbae458865
61d7b2c7814971e5323ec67b3a3d7f45
05957d98a75c04597649295dc846682d
ce35c935dcc9d55b2c79945bac77dc8e
6f2f61783a4a59449db4ba37211fa331
4c66950d791ff5d39d53ffcd0b52a64d
SHA-256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-1
7b6e6487b803bbe85d7466b89da51a269fa4fc29
8027c1d1ac0fd7d40ee850119c6d4501fbe75eab
8a030a03570134cee4659b1b1f666f6f48c27fa5
7637ee2925c88110fc15a77c120bf70dc66e84a7
676537b0f7707feae0130bbcbdc881f5b4eb3f03
720e6abf3befb585164450325246fe9cb000268f
6f391d282a37b770abcedd08c4c0e2156076cd8e
dd5bb0609b92163d8834a37a517885ce0b512938