Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новый троян PylangGhost от северокорейской группы Famous Chollima

4
3 мин
В мае 2025 года специалисты Cisco Talos зафиксировали новую опасную угрозу — троян удаленного доступа (RAT) на базе Python под названием PylangGhost. Этот вредоносный инструмент используется исключительно северокорейской хакерской группой Famous Chollima, известной также как Wagemole. Новая версия обладает функционалом, схожим с ранее известным GolangGhost RAT, но при этом сохраняет особенности и новые возможности, напрямую ориентируясь на специфические цели. PylangGhost преимущественно нацелен на пользователей Windows, в то время как для владельцев устройств на macOS по-прежнему применяется вариант вредоноса на Golang. Системы Linux целенаправленно исключены из текущих операций. Основная аудитория атак — специалисты и профессионалы, связанные с криптовалютами и блокчейн-технологиями. Наибольший массив атак фиксируется в Индии, однако представители Cisco Talos не обнаружили свидетельств воздействия PylangGhost на пользователей Cisco. Северокорейская группа Famous Chollima с середины 20
Оглавление

В мае 2025 года специалисты Cisco Talos зафиксировали новую опасную угрозу — троян удаленного доступа (RAT) на базе Python под названием PylangGhost. Этот вредоносный инструмент используется исключительно северокорейской хакерской группой Famous Chollima, известной также как Wagemole. Новая версия обладает функционалом, схожим с ранее известным GolangGhost RAT, но при этом сохраняет особенности и новые возможности, напрямую ориентируясь на специфические цели.

Цели и география атак

PylangGhost преимущественно нацелен на пользователей Windows, в то время как для владельцев устройств на macOS по-прежнему применяется вариант вредоноса на Golang. Системы Linux целенаправленно исключены из текущих операций.

Основная аудитория атак — специалисты и профессионалы, связанные с криптовалютами и блокчейн-технологиями. Наибольший массив атак фиксируется в Индии, однако представители Cisco Talos не обнаружили свидетельств воздействия PylangGhost на пользователей Cisco.

Методы распространения и техники влияния

Северокорейская группа Famous Chollima с середины 2024 года ведет активные кампании, используя социальную инженерию:

  • создание поддельных объявлений о приеме на работу;
  • привлечение жертв посредством страниц с тестами на проверку навыков.

Пользователям таких ресурсов предлагается выполнить вредоносные командные строки, якобы необходимые для установки драйверов. На самом деле это является ключевым этапом в распространении RAT.

Техническая реализация заражения

Атака предполагает ввод команд через PowerShell или curl, которые загружают ZIP-файл с компонентами PylangGhost и Visual Basic скрипт. После выполнения скрипты распаковывают библиотеки Python и запускают троян через переименованный интерпретатор Python с необычным именем — nvidia.py.

PylangGhost построен из шести отдельных модулей на Python. При первом запуске основное внимание уделяется:

  • созданию записи в реестре Windows для обеспечения устойчивости к перезагрузкам;
  • установлению стабильного соединения с сервером команд и управления (C2).

Особенности функционала и защита связи с C2

Троян использует конфигурационный файл, импортирующий последовательности команд, идентичные тем, что встречаются в GolangGhost. Среди ключевых возможностей — удаленный доступ и кража конфиденциальных данных, включая:

  • файлы cookie из более чем 80 популярных браузерных расширений, в числе которых Metamask и 1Password;
  • другие чувствительные данные, значимые для криптоэкосистемы.

Для обмена информацией с C2 используется шифрование RC4, которое скрывает трафик, передаваемый по незашифрованному протоколу HTTP. Каждый пакет:

  • содержит контрольную сумму для проверки целостности;
  • включает ключ шифрования, встроенный внутрь пакета, что усиливает безопасность передачи.

Различия и эволюция версий RAT

Анализ конфигурационных файлов выявил явные отличия между версиями, написанными на Python и на Golang. Среди них — различные индикаторы версий, что указывает на возможное развитие и диверсификацию вредоноса по разным направлениям. Точная причина использования двух языков программирования остается неясной, однако это может отражать попытки адаптироваться к меняющейся среде угроз.

Заключение

Быстрая эволюция PylangGhost и его диверсификация свидетельствуют о высоком уровне адаптивности современных угрожающих инфраструктур, особенно в финтех-секторе и среди специалистов по криптовалютам. Группа Famous Chollima продолжает оттачивать свои инструменты и тактики, фокусируясь на финансовой эксплуатации и кибершпионаже.

Эксперты рекомендуют специалистам в области блокчейна и криптовалют быть предельно осторожными с неподтверждёнными источниками программного обеспечения и ссылками, особенно в объявлениях о работе и на тематических тестовых платформах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новый троян PylangGhost от северокорейской группы Famous Chollima".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются