Северокорейские хакеры, спонсируемые государством, загрузили вредоносные пакеты в репозиторий PyPI (Python Package Index), замаскировав один из них под модуль коннектора VMware vSphere под названием vConnector.
Пакеты были загружены в начале августа, причем один из них под названием VMConnect был ориентирован на ИТ-специалистов, ищущих средства виртуализации.
На момент удаления с платформы PyPI VMConnect насчитывал 237 загрузок. Еще два пакета с тем же кодом, опубликованные под именами "ethter" и "quantiumbase" и также выдававшие себя за популярные программные проекты, были загружены 253 и 216 раз соответственно.
В сегодняшнем отчете компании ReversingLabs, специализирующейся на защите цепочек поставок программного обеспечения, эта кампания приписывается Labyrinth Chollima, подгруппе северокорейских хакеров Lazarus.
Исследователи обнаружили еще несколько пакетов, являющихся частью той же операции VMConnect: 'tablediter' (736 загрузок), 'request-plus' (43 загрузки) и 'requestspro' (341 загрузка).
Первый из обнаруженной троицы пакетов, судя по всему, пытается выдать себя за инструмент, помогающий редактировать таблицы, а два других выдают себя за популярную Python-библиотеку 'requests', используемую для выполнения HTTP-запросов.
Добавляя к названию суффиксы "plus" и "pro", хакеры делают записи похожими на версии стандартных легитимных пакетов с дополнительными возможностями.
Вредоносные пакеты имеют то же описание, что и оригиналы, и содержат минимальные различия в структуре файлов и содержимом, причем изменения касаются в основном файла "__init__.py", который выполняет вредоносную функцию из файла "cookies.py", запускающую сбор данных с зараженной машины.
Информация доставляется на командно-контрольные (C2) серверы злоумышленника через HTTP-запрос POST.
В ответ сервер получает Python-модуль, обфусцированный с помощью Base64 и XOR и содержащий параметры выполнения. Модуль также содержит URL-адрес загрузки полезной нагрузки следующего этапа, который исследователи не смогли получить.
"Как и в случае с предыдущей итерацией кампании VMConnect, связанный с ней C2-сервер не предоставлял дополнительных команд по умолчанию, а ждал подходящей цели, что затрудняет оценку полного масштаба кампании." - ReversingLabs
Уверенность в атрибуции
Хотя исследователи ReversingLabs не анализировали конечную полезную нагрузку, они утверждают, что собрали достаточно доказательств, чтобы связать кампанию VMConnect с печально известной северокорейской APT-группой Lazarus.
Одним из аргументов является обнаружение в составе вредоносных пакетов файла 'builder.py', содержащего ту же процедуру декодирования полезной нагрузки, которая была обнаружена в другом файле под названием 'py_Qrcode' японской группы реагирования на инциденты в области компьютерной безопасности (CSIRT) JPCERT.
JPCERT приписывает этот код другой подгруппе Lazarus, которую они отслеживают как DangerousPassword.
Функциональность этого файла идентична третьему файлу под названием 'QRLog' - вредоносной программе на базе Java, которую Crowdstrike с высокой степенью достоверности приписывает Labyrinth Chollima.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!