PondRAT: новая атака на Linux и macOS
23/09/24
Исследователи из Unit 42 обнаружили новую вредоносную кампанию, организованную северокорейской группировкой Gleaming Pisces и нацеленную на системы Linux и macOS с использованием вредоносных Python-пакетов. Злоумышленники распространяют заражённые пакеты через популярный репозиторий PyPI, внедряя в них бэкдор PondRAT — облегчённую версию ранее известного POOLRAT.
Атака начинается с загрузки вредоносных пакетов, таких как «real-ids», «coloredtxt», «beautifultext» и «minisound», в PyPI. При установке эти пакеты запускают команды, которые загружают PondRAT, обеспечивая злоумышленникам полный контроль над устройством. Вредоносное ПО позволяет загружать и выгружать файлы, выполнять команды и даже приостанавливать работу системы, пишет Securitylab.
Особую опасность представляет кроссплатформенный характер атаки, которая охватывает как Linux, так и macOS. PondRAT, несмотря на меньший функционал по сравнению с POOLRAT, обладает достаточной мощью для кражи данных и нарушения работы сети. Анализ C2-инфаструктуры показал, что она практически идентична POOLRAT, что позволяет злоумышленникам управлять заражёнными системами с высокой эффективностью.
Группировка Gleaming Pisces, известная своими связями с разведывательным бюро Северной Кореи, не впервые привлекает внимание специалистов. Ранее она проводила атаки в криптовалютной сфере, распространяя вредоносное ПО под видом программ для торговли. Текущая кампания с использованием Python-пакетов демонстрирует её способность к адаптации и расширению методов атак.
Исследователи Unit 42 выявили сходства в коде PondRAT и вредоносных программ, применявшихся в предыдущих атаках Gleaming Pisces. Одинаковые названия функций, общие структуры кода и совпадающие ключи шифрования подтверждают, что это очередная попытка группировки захватить цепочку поставок ПО.