PylangGhost RAT
A Cisco Talos jelentése szerint egy új, Python-alapú kártevő jelent meg a kibertérben, amely szoros rokonságban áll a korábban Go nyelven fejlesztett GolangGhost RAT-tel. Az új variáns a PylangGhost nevet kapta, és a Cisco elemzése szerint a hírhedt észak-koreai kötődésű APT-csoport, a Famous Chollima – Lazarus Group egyik alegysége – felelős a fejlesztéséért és terjesztéséért. A PylangGhost kampány célpontjai elsősorban Indiában található kriptovaluta-szakértők, blokklánc-technológiával foglalkozó fejlesztők, illetve olyan pénzügyi szereplők, akik digitális eszközökkel dolgoznak, és akik gyakran kerülnek kiberkémkedési műveletek célkeresztjébe.
A támadások kezdeti fázisa klasszikus, de kifinomult pszichológiai megtévesztési (social engineering) technikára épül, a támadók gyakran professzionálisan megfogalmazott e-maileket küldenek, amelyekben valósághű állásajánlatokra, kriptovaluta-befektetési lehetőségekre vagy technológiai partnerségekre hivatkoznak. Az üzenetekben csatolmányként küldenek Python-scriptet vagy futtatható fájlokat, amelyek első ránézésre legitim dokumentumnak tűnhetnek. Miután a célpont megnyitja ezeket a fájlokat, a PylangGhost automatikusan települ a rendszerre, kapcsolatot létesít egy távoli C2 szerverrel, és elindítja moduláris támadófunkcióit.
A kártevő funkcionalitása széleskörű, képes távoli shell-parancsok végrehajtására, fájlok letöltésére és feltöltésére, jelszavak és bejelentkezési adatok kinyerésére, képernyőképek készítésére, leütések rögzítésére, valamint különféle folyamatokba való beágyazódásra. Emellett az egyik legfontosabb képessége, hogy a rendszer újraindítása után is aktív marad, például automatikus indítással, ütemezett feladatokon vagy registry-módosításokon keresztül. A PylangGhost úgy lett kialakítva, hogy ne csak észrevétlen maradjon, hanem képes legyen a meglévő védelmi megoldások (antivírus, EDR) kikerülésére is, például obfuszkált kód, sandbox-ellenes trükkök és időzítési manipulációk révén.
A Cisco jelentésében külön hangsúlyt fektetnek arra, hogy az észak-koreai APT-k – különösen a Lazarushoz köthető ágak – egyre tudatosabban térnek át a Go nyelvről Pythonra, mivel utóbbi nemcsak rugalmasabb és gyorsabban módosítható, hanem a kutatók és biztonsági rendszerek számára is kevésbé gyanús, főleg ha legitim scriptek közé rejtik. A Python-alapú RAT-ek könnyebben integrálhatók fejlesztői eszközláncokba, DevOps környezetekbe, illetve olyan álcázott fájlokba, amelyek rendszeresen cserélődnek GitHubon vagy más fejlesztői platformokon.
A PylangGhost jelenléte világosan mutatja, hogy a kibertámadások már nem kizárólag bináris fájlokkal operálnak, hanem scriptek, konfigurációs fájlok, és forráskódba ágyazott fenyegetések révén is támadnak, amelyek a hagyományos védekezési rendszereket gyakran megkerülik. A Cisco arra figyelmeztet, hogy a célzott szervezeteknek és egyéni fejlesztőknek fokozott figyelmet kell fordítaniuk a Python-környezetek és kódok auditálására, a hálózati anomáliák valós idejű észlelésére, valamint arra, hogy ne csak a futtatható állományokat, hanem a scripteket is ellenőrizzék. A legjobb védelmet jelenleg olyan modern végponti és hálózati megoldások jelenthetik, amelyek képesek viselkedésalapú fenyegetésazonosításra, illetve integrált reagálásra a C2-forgalmak blokkolása érdekében.
