Malware botaa3

V úložišti Python Package Index (PyPI) byl objeven další ohrožující balíček. Než byla hrozba odstraněna, podařilo se jí nashromáždit přibližně 130 stažení. Balíček byl pojmenován 'botaa3' v chabém pokusu napodobit jméno 'boto3', široce populární sadu pro vývoj softwaru Amazon Web Services (AWS) (SDK) pro Python.

Odborníci na kybernetickou bezpečnost analyzovali kód hrozby a objevili její hanebné schopnosti. Balíček botaa3, pokudúspěšně nasazený, by útočníkům poskytl možnost spustit libovolný kód na prolomeném systému a účinně nad ním převzít kontrolu.

Technické údaje

Balíček botaa3 obsahoval několik úrovní zmatku pomocí kódování base64 a bitového šifrování XOR. Kromě toho také nese celý kód legitimního balíčku boto3. Ve skutečnosti hrozba instaluje boto3 jako součást svých akcí ve snaze vyhnout se jakémukoli podezření. V kódu je také pohřbeno 'KillDate' nastavené na 17. listopadu 2020. Po tomto datu již balíček botaa3 nebude funkční.

Ohrožující schopnosti

Jednou z prvních akcí, které malware provedl, je kontrola u jeho serveru Command-and-Control (C2, C&C). Během tohoto kroku botaa3 exfiltruje různé informace převzaté ze systému oběti. Data zahrnují IP adresu, podrobnosti o operačním systému a architektuře, přihlašovací údaje k účtu, název hostitele, FQDN (plně kvalifikovaný název domény) a další.

Poté bude botaa3 čekat na příchozí příkazy. Aktéři hrozeb jsou schopni shromažďovat soubory nebo stahovat další, manipulovat se systémem souborů (mazat soubory a složky), otevírat reverzní shelly, načítat další moduly a skripty Pythonu atd. Útočníci mohou také instruovat malware, aby zastavil svou činnost a položil spící.

Poté, co byl bezpečnostní tým PyPI upozorněn na přítomnost hrozby botaa3, téměř okamžitě zasáhl a hrozivý balíček odstranil.