One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8580619 |
| Date de publication | 2024-09-20 15:50:36 (vue: 2024-09-20 16:18:13) |
| Titre | Le groupe nord-coréen APT Gleaming Poissons déploie le Pondrat via des forfaits Python empoisonnés North Korean APT Group Gleaming Pisces Deploys PondRAT via Poisoned Python Packages |
| Texte | ## Instantané Les chercheurs de l'unité 42 ont identifié une campagne de logiciels malveillants en cours impliquant des forfaits Python empoisonnés, qu'ils ont nommés Pondrat. ## Description La campagne offre des logiciels malveillants de porte dérobée ciblant les systèmes Linux et MacOS via des packages infectés dans PYPI, un référentiel populaire pour le logiciel Python.Les attaquants ont téléchargé plusieurs packages malveillants qui ont conduit à l'installation d'un outil d'accès à distance (RAT).Sur la base de similitudes de code importantes et de recherches publiques antérieures, la campagne a été attribuée à Gleaming Poissons, un groupe d'acteurs de menaces nord-coréen suivis par Microsoft en tant que [Citrine Sleet] (https://security.microsoft.com/intel-profiles/byexternalid/69A6F70FA93E58F1412BF8DBFF92F001E83A5A27AF77FE7A0BF52E4E394EF623).L'unité 42 évalue ce groupe est associé à la campagne d'Applejeus et a des liens avec le Bureau général de reconnaissance du gouvernement nord-coréen. Les Poissons brillants sont connus pour cibler le secteur des crypto-monnaies, et les chercheurs de l'unité 42 pensent que le but de cette campagne est d'accéder aux développeurs \\ 'et, à travers eux, à compromettre la chaîne d'approvisionnement et les clients des fournisseurs.L'analyse des logiciels malveillants a révélé des similitudes entre Pondrat et un rat macOS précédemment connu appelé Poolrat, solidifiant davantage la connexion avec des Poissons étincelés.Les deux familles de logiciels malveillants partagent des structures de code communes, des noms de fonction, des clés de chiffrement et des flux d'exécution. La stratégie de l'acteur de menace consiste à télécharger ces packages Python empoisonnés à PYPI, qui, lorsqu'il est installé, télécharge et exécute du code malveillant qui infecte la machine de la victime.Cette méthode d'attaque permet aux logiciels malveillants d'échapper à la détection et de rester cachés, posant un risque important pour les organisations qui s'appuient sur des logiciels open-source.Les chercheurs ont également découvert que Pondrat est une version plus légère de Poolrat, suggérant que les logiciels malveillants ont évolué pour répondre à différents besoins opérationnels entre les systèmes Linux et MacOS.Les forfaits empoisonnés ont depuis été retirés du PYPI, mais la menace souligne les dangers des attaques de chaîne d'approvisionnement. ## Analyse Microsoft L'acteur de menaceque Microsoft suit comme [Citrine Sleet] (https://security.microsoft.com/intel-profiles/byexternalid/69a6f70fa93e58f1412bf8dbff92f001e83a5a27af77fe7a0bf52e4e394EF623) est basé en Corée du Nord et cible principalement les institutions financières, en particulier les organisations et les individus qui gèrent la crypto-monnaie, à des fins financières.Dans le cadre de ses tactiques d'ingénierie sociale, Citrine Sleet a réalisé une reconnaissance approfondie de l'industrie des crypto-monnaies et des individus qui y sont associés.L'acteur de menace crée de faux sites Web se faisant passer pour des plates-formes de trading de crypto-monnaie légitimes et les utilise pour distribuer de fausses applications de travail ou attirer des cibles dans le téléchargement d'un portefeuille de crypto-monnaie ou une application de trading armée basée sur des applications légitimes.Le grésil citrine infecte le plus souvent les cibles avec le logiciel malveillant unique qu'il a développé, [Applejeus] (https: // Security.Microsoft.com/intel-profiles/796c7ccf162d06ceaa32e04c82cd7b8025abe1d155a358319286012107a6b838?ocid=magicti_ta_ta2), qui collecte les informations nécessaires à la lutteActifs de crypto-monnaie. Citrine Sleet est suivi par d'autres sociétés de sécurité sous le nom d'Applejeus, Labyrinth Chollima, UNC4736 et Hidden Cobra, et a été attribué au Bureau 121 du Bureau général de reconnaissance de la Corée du Nord. ## Recommandations Appliquez ces atténuations pour réduire |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 121 2024 2024** 365/security/defender access accessed across action actor age alert alerts all allows also alto analysis antivirus any applejeus application applications apply apt are artifacts assesses assets associated attack attackers attacks attributed authority automated backdoor backdoor:macos/nukesped based been behind believe between block both breach breaches bureau but called campaign can card chain changes check chollima citrine cobra code collects com/defender com/en com/gleaming com/intel com/microsoft common commonly companies components compromise conducted configuration configure configure connection content control copyright creates credential criterion cryptocurrency customers dangers defender delivers dender deployment deploys description detect detected detection detects developed developers different discovered distribute distribution does download downloading edr enable encryption encyclopedia endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/prevent endpoint/web engineering ensure evade even evolved exe executable execute execution extensive fake families files financial flows following from full function further gain general gleaming government group has have help hidden https://learn https://security https://unit42 https://www identified immediate impact individuals industry infected infects information installation installed institutions investigation investigations involves involving its job keys known korea korean labyrinth learndoc learndoc#block learndoc#how led legitimate let lightweight linux list local lsass lure machine machines macos malicious malware malware: manage managing masquerading meet method microsoft mitigations mode monitored more most mtb name=backdoor:macos/nukesped name=trojan:linux/nukesped name=trojan:macos/nukesped named names necessary needs network networks non north not obfuscated ocid=magicti ongoing on open operational organizations other overview packages palo paloaltonetworks part particularly passive past permission pisces platforms poisoned pondrat pondrat/#new poolrat popular posing post potentially prevalence prevent previously primarily profiles/796c7ccf162d06ceaa32e04c82cd7b8025abe1d155a358319286012107a6b838 profiles/byexternalid/69a6f70fa93e58f1412bf8dbff92f001e83a5a27af77fe7a0bf52e4e394ef623 prohibited protection public purpose pypi python rat recommendations reconnaissance reduce reducing reduction reference references rely remain remediate remediation remote removed repository reproduction research researchers reserved resolve response revealed rights risk rules running run scenes scripts sector security seize settings several share significant significantly similarities since site sleet snapshot social software solidifying source status stealing strategy strengthen structures subsystem suggesting suit supply surface systems ta2 tab tactics take tamper targeting targets techniques: that them thereof these threat through ties tool tracked tracks trading trojan trojan:linux/nukesped trojan:macos/nukesped trusted turn turned unc4736 underscores unique unit unless uploaded uploading us/wdsi/threats/malware uses vendors version victim volume wallet weaponized web websites when which windows without works written your in is so |
| Tags | Malware Tool Threat |
| Stories | APT 38 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.