Er is waargenomen dat cybercriminelen met banden met Noord-Korea vergiftigde Python-pakketten gebruiken om een nieuwe malware genaamd PondRAT te verspreiden als onderdeel van een lopende campagne.
Volgens nieuwe bevindingen van Palo Alto Networks Unit 42 wordt PondRAT gezien als een lichtere versie van POOLRAT (ook bekend als SIMPLESEA), een bekende macOS-backdoor die eerder werd toegeschreven aan de Lazarus Group en die vorig jaar werd ingezet bij aanvallen met betrekking tot de inbreuk op de 3CX-toeleveringsketen.
Sommige van deze aanvallen maken deel uit van een aanhoudende cyberaanvalcampagne met de naam Operation Dream Job, waarbij potentiële slachtoffers worden gelokt met aantrekkelijke baanaanbiedingen in een poging hen te verleiden malware te downloaden.
“De aanvallers achter deze campagne hebben verschillende vergiftigde Python-pakketten geüpload naar PyPI, een populaire opslagplaats voor open-source Python-pakketten”, aldus Yoav Zemah, onderzoeker bij Unit 42. Hij linkt de activiteit met redelijke zekerheid aan een dreigingsactor met de naam Gleaming Pisces.
De tegenstander wordt ook gevolgd door de bredere cybersecuritygemeenschap onder de namen Citrine Sleet, Labyrinth Chollima, Nickel Academy en UNC4736, een subcluster binnen de Lazarus Group die ook bekendstaat om het verspreiden van de AppleJeus-malware.
Er wordt aangenomen dat het uiteindelijke doel van de aanvallen is om “toegang te verkrijgen tot leveranciers in de toeleveringsketen via de eindpunten van ontwikkelaars en vervolgens toegang te krijgen tot de eindpunten van de klanten van de leveranciers, zoals waargenomen bij eerdere incidenten.”
Hieronder vindt u de lijst met schadelijke pakketten die nu uit de PyPI-repository zijn verwijderd:
De infectieketen is vrij eenvoudig. Zodra de pakketten op de systemen van de ontwikkelaars zijn gedownload en geïnstalleerd, zijn ze zo ontworpen dat ze een gecodeerde volgende fase uitvoeren. Deze fase voert vervolgens de Linux- en macOS-versies van de RAT-malware uit nadat deze van een externe server zijn opgehaald.
Uit nadere analyse van PondRAT zijn overeenkomsten met zowel POOLRAT als AppleJeus gebleken. De aanvallen verspreidden ook nieuwe Linux-varianten van POOLRAT.
“De Linux- en macOS-versies (van POOLRAT) gebruiken een identieke functie-structuur voor het laden van hun configuraties, met vergelijkbare methodenamen en functionaliteit”, aldus Zemah.
“Bovendien zijn de methodenamen in beide varianten opvallend vergelijkbaar en zijn de strings bijna identiek. Ten slotte is het mechanisme dat opdrachten van de (command-and-control-server) verwerkt, bijna identiek.”
PondRAT, een slankere versie van POOLRAT, biedt mogelijkheden om bestanden te uploaden en downloaden, bewerkingen gedurende een vooraf ingesteld tijdsinterval te pauzeren en willekeurige opdrachten uit te voeren.
“Het bewijs van extra Linux-varianten van POOLRAT toont aan dat Gleaming Pisces zijn mogelijkheden op zowel Linux- als macOS-platformen heeft uitgebreid”, aldus Unit 42.
“De wapenisering van legitiem ogende Python-pakketten op meerdere besturingssystemen vormt een aanzienlijk risico voor organisaties. Succesvolle installatie van kwaadaardige pakketten van derden kan resulteren in een malware-infectie die een heel netwerk in gevaar brengt.”
De onthulling komt op het moment dat KnowBe4, dat werd misleid om een Noord-Koreaanse cybercrimineel als werknemer aan te nemen, meldde dat meer dan een dozijn bedrijven “hetzij Noord-Koreaanse werknemers inhuurden, hetzij werden belaagd door een groot aantal valse cv’s en sollicitaties die waren ingediend door Noord-Koreanen in de hoop een baan bij hun organisatie te krijgen.”
De activiteit, die door CrowdStrike onder de naam Famous Chollima werd gevolgd, werd omschreven als een “complexe, industriële, grootschalige operatie van een natiestaat” en dat het een “ernstig risico vormt voor elk bedrijf met werknemers die uitsluitend op afstand werken.”