Пакет PyPI soopsocks идентифицирован как потенциальная угроза безопасности, демонстрирующая поведение, типичное для вредоносного ПО. На первый взгляд утилита маскируется под легитимный прокси, но технический анализ показывает сложную архитектуру, механизмы распространения и устойчивый канал управления, что делает её опасной для корпоративных инфраструктур.
Ключевые факты
- Идентификатор пакета: soopsocks (PyPI).
- Ранние релизы (0.1.0–0.1.2) реализовали базовый SOCKS5-прокси, поздние версии добавили механизмы развертывания и закрепления.
- Основной вектор развертывания — исполняемый файл AUTORUN.EXE, представляющий собой PE32+ binary, созданный с использованием Go.
- Прокси использует протокол SOCKS5 на порту 1080 без аутентификации (функционирует как открытый прокси).
- Исполняемый файл содержит жёстко закодированные данные (включая Discord webhook) и способен модифицировать правила брандмауэра Windows.
- Пакет выполняет сетевую разведку — обнаруживает локальные и публичные IPv4-адреса и использует протокол STUN для определения NAT/обхода.
Технический анализ
Исполняемый файл AUTORUN.EXE — PE32+ бинарник, скомпилированный на Go. Он запускается с флагом скрытого окна и выполняет встроенные PowerShell-сценарии, что обеспечивает тихую установку и выполнение. В компоненте есть жёстко закодированные URL (Discord webhook) и логика управления правилами брандмауэра.
Компоненты на Python структурированы следующим образом:
- SERVER.PY — реализует серверную часть прокси (SOCKS5), отвечает за пересылку трафика через порт 1080.
- CLI.PY — обрабатывает стратегии управления сервером и механизмы закрепления; часто отдаёт приоритет установке в качестве Windows Service.
- В более ранних релизах присутствовал VBS-метод развертывания, который загружает переносимое Python-приложение и создаёт PowerShell-скрипты с повышенными привилегиями.
Поведенческие индикаторы
- Открытый SOCKS5-прокси на порту 1080 без аутентификации.
- Периодические запросы на предопределённый Discord endpoint: каждые ~30 секунд отправляется JSON с данными о состоянии/оффлайне — обеспечивает канал связи C2 в реальном времени.
- Сбор сетевой информации: локальные и публичные IPv4, использование STUN для обхода NAT.
- Изменение правил Windows Firewall для управления входящим/исходящим трафиком.
- Автозапуск после перезагрузки (autorun) и установка в качестве службы Windows для постоянства.
«Угроза, исходящая от soopsocks, классифицируется как высокорисковая ввиду её способностей к постоянному доступу, всесторонней сетевой телеметрии и связи в реальном времени через Discord.»
Оценка риска
SoopSocks сочетает в себе возможности удалённого доступа через открытый прокси, устойчивые механизмы закрепления на Windows-хостах и канал обратной связи с оператором через Discord webhook. Такое сочетание делает пакет инструментом для скрытого туннелирования трафика, сбора сетевой разведданных и удалённого управления, что представляет серьёзную угрозу для корпоративных сетей. Риск — высокий.
Рекомендации по реагированию и устранению
- Немедленно изолировать подозрительные/затронутые хосты от сети.
- Заблокировать на периметре и внутри сети домены и IP, связанные с обнаруженными Discord webhook и другими C2-эндоинтами.
- Поиск и удаление следующих артефактов: AUTORUN.EXE, SERVER.PY, CLI.PY и сопутствующие VBS/PowerShell-скрипты.
- Проверить и откатить изменения правил Windows Firewall, выявить незнакомые сервисы и элементы автозапуска.
- Отключить выполнение VBS в окружениях, где это приемлемо, и внедрить application allowlisting для предотвращения запуска неподписанных бинарников и скриптов.
- Усилить возможности Endpoint Detection and Response (EDR): настроить детекторы на сетевые попытки установки SOCKS5-прокси, активность на порту 1080 и регулярные исходящие POST-запросы к внешним webhook-адресам.
- Проверить логи на предмет регулярных исходящих JSON-запросов (~30-секундный интервал) и на выявление использования STUN.
- Провести полноценное forensic-исследование затронутых хостов и, при необходимости, восстановление из известных чистых резервных копий.
- Рассмотреть сегментацию сети и ограничение исходящих соединений из критических сегментов для снижения рисков туннелирования трафика.
Вывод
Хотя soopsocks внешне напоминает утилиту для работы с прокси, его поведение — скрытное выполнение, жёстко закодированные C2-эндпоинты, модификация брандмауэра и постоянство в системе — указывает на злонамеренные намерения. Организациям рекомендуется считать пакет высокорисковым и применять описанные меры по обнаружению, блокировке и удалению компонентов, а также укреплять контроль над запуском скриптов и внешними соединениями.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "SoopSocks (PyPI): высокорисковая SOCKS5 угроза через Discord".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.