Кибератаки становятся все более изощренными, и злоумышленники активно используют различные инструменты и методы для достижения своих целей. Недавнее исследование выявило использование бэкдора на Python для проникновения в сети, перемещения по ним и развертывания вымогательского программного обеспечения RansomHub. Все начинается с обманчивого JavaScript-вредоноса SocGholish (он же FakeUpdates), распространяемого через зараженные веб-сайты в виде поддельных обновлений браузера. Примерно через 20 минут после заражения SocGholish на целевой машине устанавливается бэкдор на Python.
Этот бэкдор не является простым скриптом. Он действует как обратный прокси, используя SOCKS5-туннель для перемещения по сети через сеансы RDP. Этот метод позволяет злоумышленникам расширить свой контроль над сетью и получить доступ к другим системам. Python-скрипт, хотя и имеет поверхностные изменения для запутывания, написан весьма грамотно, что указывает на тщательную работу автора или применение инструментов на основе искусственного интеллекта. Уникальность бэкдора заключается в том, что он работает через SOCKS5, что затрудняет обнаружение исходящего трафика.
Кроме того, злоумышленники не останавливаются на достигнутом и используют другие методы для компрометации сети. В частности, они используют инструменты EDRSilencer и Backstab для отключения решений Endpoint Detection and Response (EDR). Также применяются инструменты LaZagne для кражи учетных данных, MailBruter для брутфорса паролей электронной почты, Sirefef и Mediyes для обеспечения скрытного доступа и доставки дополнительных полезных нагрузок.
Особую тревогу вызывает эксплуатация облачных сервисов, в частности Amazon S3. Злоумышленники, известные как Codefinger, используют общедоступные ключи AWS для чтения и шифрования объектов в бакетах S3. Они применяют SSE-C и API управления жизненным циклом объектов S3 для удаления файлов через 7 дней, чтобы подтолкнуть жертв к выкупу. Эта тактика создает дополнительное давление на компании, вынуждая их быстро реагировать.
Недавний всплеск фишинговых атак также заслуживает внимания. Злоумышленники имитируют тактику Black Basta, заваливая почтовые ящики жертв поддельными рассылками и уведомлениями об оплате, а затем переходят к прямому общению. В таких атаках в качестве средства связи используются даже Microsoft Teams, что указывает на адаптивность злоумышленников.
Интересно, что бэкдор на Python уже был замечен ранее. Еще в феврале 2024 года компания ReliaQuest задокументировала раннюю версию этого скрипта. Первые же случаи его обнаружения в «дикой природе» относятся к началу декабря 2023 года. Этот временной разрыв говорит о том, что злоумышленники постоянно работают над совершенствованием своих инструментов.
Исследование, проведенное GuidePoint Security, пролило свет на использование Python-бэкдора. Команда Halcyon подчеркнула применение различных инструментов перед развертыванием вымогательского ПО, а также эксплуатацию Amazon S3. SlashNext зафиксировала всплеск фишинговых атак с использованием тактики Black Basta.
Не менее важным является знание об уязвимостях, которые используют злоумышленники. В частности, выявлены уязвимые версии SEO-плагинов Yoast (CVE-2024-4984, CVSS score: 6.4) и Rank Math PRO (CVE-2024-3665, CVSS score: 6.4) на сайтах WordPress. Эти уязвимости становятся точкой входа для многих атак.
Используемый злоумышленниками бэкдор на Python имеет несколько особенностей. Помимо маскировки переменных, он содержит подробные сообщения отладки и хорошую обработку ошибок. Он работает через SOCKS5, создавая туннель для управления трафиком. Для доставки бэкдора на другие машины в сети используются RDP-сессии. При этом, для удаленного доступа к сети применяются такие инструменты, как TeamViewer и AnyDesk.
Эти факты подчеркивают необходимость бдительности и применения комплексных мер по защите от кибератак. Отслеживание подозрительной активности, своевременное обновление программного обеспечения и обучение персонала основам кибербезопасности являются важными составляющими общей системы защиты.
Таким образом, использование Python-бэкдора является лишь одним из примеров того, как злоумышленники становятся все более изощренными в своих атаках. Важно помнить, что кибератаки представляют постоянную угрозу, и для успешной защиты необходимо постоянно адаптироваться к новым методам, которые используют преступники.
Изображение носит иллюстративный характер
Этот бэкдор не является простым скриптом. Он действует как обратный прокси, используя SOCKS5-туннель для перемещения по сети через сеансы RDP. Этот метод позволяет злоумышленникам расширить свой контроль над сетью и получить доступ к другим системам. Python-скрипт, хотя и имеет поверхностные изменения для запутывания, написан весьма грамотно, что указывает на тщательную работу автора или применение инструментов на основе искусственного интеллекта. Уникальность бэкдора заключается в том, что он работает через SOCKS5, что затрудняет обнаружение исходящего трафика.
Кроме того, злоумышленники не останавливаются на достигнутом и используют другие методы для компрометации сети. В частности, они используют инструменты EDRSilencer и Backstab для отключения решений Endpoint Detection and Response (EDR). Также применяются инструменты LaZagne для кражи учетных данных, MailBruter для брутфорса паролей электронной почты, Sirefef и Mediyes для обеспечения скрытного доступа и доставки дополнительных полезных нагрузок.
Особую тревогу вызывает эксплуатация облачных сервисов, в частности Amazon S3. Злоумышленники, известные как Codefinger, используют общедоступные ключи AWS для чтения и шифрования объектов в бакетах S3. Они применяют SSE-C и API управления жизненным циклом объектов S3 для удаления файлов через 7 дней, чтобы подтолкнуть жертв к выкупу. Эта тактика создает дополнительное давление на компании, вынуждая их быстро реагировать.
Недавний всплеск фишинговых атак также заслуживает внимания. Злоумышленники имитируют тактику Black Basta, заваливая почтовые ящики жертв поддельными рассылками и уведомлениями об оплате, а затем переходят к прямому общению. В таких атаках в качестве средства связи используются даже Microsoft Teams, что указывает на адаптивность злоумышленников.
Интересно, что бэкдор на Python уже был замечен ранее. Еще в феврале 2024 года компания ReliaQuest задокументировала раннюю версию этого скрипта. Первые же случаи его обнаружения в «дикой природе» относятся к началу декабря 2023 года. Этот временной разрыв говорит о том, что злоумышленники постоянно работают над совершенствованием своих инструментов.
Исследование, проведенное GuidePoint Security, пролило свет на использование Python-бэкдора. Команда Halcyon подчеркнула применение различных инструментов перед развертыванием вымогательского ПО, а также эксплуатацию Amazon S3. SlashNext зафиксировала всплеск фишинговых атак с использованием тактики Black Basta.
Не менее важным является знание об уязвимостях, которые используют злоумышленники. В частности, выявлены уязвимые версии SEO-плагинов Yoast (CVE-2024-4984, CVSS score: 6.4) и Rank Math PRO (CVE-2024-3665, CVSS score: 6.4) на сайтах WordPress. Эти уязвимости становятся точкой входа для многих атак.
Используемый злоумышленниками бэкдор на Python имеет несколько особенностей. Помимо маскировки переменных, он содержит подробные сообщения отладки и хорошую обработку ошибок. Он работает через SOCKS5, создавая туннель для управления трафиком. Для доставки бэкдора на другие машины в сети используются RDP-сессии. При этом, для удаленного доступа к сети применяются такие инструменты, как TeamViewer и AnyDesk.
Эти факты подчеркивают необходимость бдительности и применения комплексных мер по защите от кибератак. Отслеживание подозрительной активности, своевременное обновление программного обеспечения и обучение персонала основам кибербезопасности являются важными составляющими общей системы защиты.
Таким образом, использование Python-бэкдора является лишь одним из примеров того, как злоумышленники становятся все более изощренными в своих атаках. Важно помнить, что кибератаки представляют постоянную угрозу, и для успешной защиты необходимо постоянно адаптироваться к новым методам, которые используют преступники.
