Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Κακόβουλα πακέτα PHP Packagist

Κακόβουλα πακέτα PHP Packagist

Μέχρι το Mezo το Κακόβουλο λογισμικό
Μετάφραση σε:

Αναλυτές κυβερνοασφάλειας έχουν εντοπίσει κακόβουλα πακέτα PHP στο Packagist που μιμούνται νόμιμες βοηθητικές βιβλιοθήκες Laravel, ενώ παράλληλα αναπτύσσουν κρυφά ένα cross-platform Remote Access Trojan (RAT). Το κακόβουλο λογισμικό λειτουργεί απρόσκοπτα σε περιβάλλοντα Windows, macOS και Linux, δημιουργώντας σημαντικό κίνδυνο για τα επηρεαζόμενα συστήματα.

Τα αναγνωρισμένα πακέτα περιλαμβάνουν:

  • nhattuanbl/lara-helper (37 λήψεις)
  • nhattuanbl/simple-queue (29 λήψεις)
  • nhattuanbl/lara-swagger (49 λήψεις)

Παρόλο που το nhattuanbl/lara-swagger δεν περιέχει άμεσα κακόβουλο κώδικα, αναφέρει το nhattuanbl/lara-helper ως εξάρτηση Composer, η οποία έχει ως αποτέλεσμα την εγκατάσταση του ενσωματωμένου RAT. Παρά τη δημόσια αποκάλυψη, αυτά τα πακέτα παραμένουν προσβάσιμα στο αποθετήριο και θα πρέπει να αφαιρεθούν αμέσως από οποιοδήποτε επηρεαζόμενο περιβάλλον.

Τακτικές συσκότισης που αποκρύπτουν κακόβουλες προθέσεις

Η λεπτομερής ανάλυση κώδικα δείχνει ότι τόσο το lara-helper όσο και το simple-queue περιέχουν ένα αρχείο με όνομα src/helper.php, το οποίο έχει σχεδιαστεί για να αποφεύγει τον εντοπισμό. Το κακόβουλο λογισμικό ενσωματώνει προηγμένες στρατηγικές απόκρυψης, όπως χειραγώγηση ροής ελέγχου, κωδικοποιημένα ονόματα τομέα και συμβολοσειρές εντολών, κρυφές διαδρομές αρχείων και αναγνωριστικά τυχαιοποιημένων μεταβλητών και συναρτήσεων.

Αυτές οι τεχνικές περιπλέκουν σημαντικά τη στατική ανάλυση και βοηθούν το κακόβουλο ωφέλιμο φορτίο να παρακάμψει τα συμβατικά εργαλεία αναθεώρησης κώδικα και τα αυτοματοποιημένα εργαλεία σάρωσης ασφαλείας.

Η Υποδομή Διοίκησης και Ελέγχου επιτρέπει την πλήρη ανάληψη του ελέγχου από τον κεντρικό υπολογιστή

Μόλις εκτελεστεί, το RAT δημιουργεί μια σύνδεση με έναν διακομιστή εντολών και ελέγχου (C2) στη διεύθυνση helper.leuleu.net στη θύρα 2096. Μεταδίδει δεδομένα αναγνώρισης συστήματος και εισέρχεται σε μια κατάσταση μόνιμης ακρόασης, αναμένοντας περαιτέρω οδηγίες. Η επικοινωνία πραγματοποιείται μέσω TCP χρησιμοποιώντας τη συνάρτηση stream_socket_client() της PHP.

Η κερκόπορτα υποστηρίζει ένα ευρύ φάσμα εντολών που εκδίδονται από τον χειριστή, επιτρέποντας τον πλήρη έλεγχο του συστήματος. Οι δυνατότητες περιλαμβάνουν:

  • Αυτοματοποιημένα σήματα καρδιακού παλμού κάθε 60 δευτερόλεπτα μέσω ping.
  • Μετάδοση δεδομένων δημιουργίας προφίλ συστήματος μέσω πληροφοριών.
  • Εκτέλεση εντολής Shell (cmd).
  • Εκτέλεση εντολών PowerShell (powershell).
  • Εκτέλεση εντολής στο παρασκήνιο (εκτέλεση).
  • Λήψη στιγμιότυπου οθόνης χρησιμοποιώντας imagegrabscreen() (στιγμιότυπο οθόνης).
  • Απομάκρυνση αρχείων (λήψη).
  • Αυθαίρετη μεταφόρτωση αρχείου με δικαιώματα ανάγνωσης, εγγραφής και εκτέλεσης που έχουν εκχωρηθεί σε όλους τους χρήστες (μεταφόρτωση).
  • Τερματισμός και έξοδος σύνδεσης (διακοπή).

    • Για τη μεγιστοποίηση της αξιοπιστίας, το RAT ελέγχει τη διαμόρφωση PHP disable_functions και επιλέγει την πρώτη διαθέσιμη μέθοδο εκτέλεσης από τις ακόλουθες: popen, proc_open, exec, shell_exec, system ή passthru. Αυτή η προσαρμοστική προσέγγιση του επιτρέπει να παρακάμπτει τα συνηθισμένα μέτρα θωράκισης της PHP.

    Ο επίμονος μηχανισμός επανασύνδεσης αυξάνει τον κίνδυνο

    Παρόλο που ο εντοπισμένος διακομιστής C2 δεν ανταποκρίνεται προς το παρόν, το κακόβουλο λογισμικό είναι προγραμματισμένο να προσπαθεί να επαναλάβει τις συνδέσεις κάθε 15 δευτερόλεπτα σε συνεχή βρόχο. Αυτός ο μηχανισμός επιμονής διασφαλίζει ότι τα παραβιασμένα συστήματα παραμένουν εκτεθειμένα σε περίπτωση που ο εισβολέας αποκαταστήσει τη διαθεσιμότητα του διακομιστή.

    Οποιαδήποτε εφαρμογή Laravel που έχει εγκαταστήσει το lara-helper ή το simple-queue λειτουργεί αποτελεσματικά με ενσωματωμένο RAT. Ο απειλητικός παράγοντας αποκτά πλήρη απομακρυσμένη πρόσβαση στο κέλυφος, τη δυνατότητα ανάγνωσης και τροποποίησης αυθαίρετων αρχείων και συνεχή ορατότητα σε λεπτομέρειες σε επίπεδο συστήματος για κάθε μολυσμένο κεντρικό υπολογιστή.

    Το Πλαίσιο Εκτέλεσης Ενισχύει τον Αντίκτυπο

    Η ενεργοποίηση πραγματοποιείται αυτόματα κατά την εκκίνηση της εφαρμογής μέσω ενός παρόχου υπηρεσιών ή μέσω αυτόματης φόρτωσης κλάσης στην περίπτωση απλής ουράς. Ως αποτέλεσμα, το RAT εκτελείται με την ίδια διαδικασία με την εφαρμογή web, κληρονομώντας πανομοιότυπα δικαιώματα συστήματος αρχείων και μεταβλητές περιβάλλοντος.

    Αυτό το περιβάλλον εκτέλεσης παρέχει στον εισβολέα πρόσβαση σε ευαίσθητα περιουσιακά στοιχεία, όπως διαπιστευτήρια βάσης δεδομένων, κλειδιά API και περιεχόμενα του αρχείου .env. Επομένως, η παραβίαση επεκτείνεται πέρα από τον έλεγχο σε επίπεδο συστήματος, στην πλήρη αποκάλυψη μυστικών εφαρμογών και στην πρόσβαση στην υποδομή.

    Στρατηγική οικοδόμησης αξιοπιστίας μέσω καθαρών πακέτων

    Περαιτέρω έρευνα αποκαλύπτει ότι ο ίδιος εκδότης κυκλοφόρησε επιπλέον πακέτα - nhattuanbl/lara-media, nhattuanbl/snooze και nhattuanbl/syslog - τα οποία δεν περιέχουν κακόβουλο κώδικα. Αυτά φαίνεται να χρησιμεύουν ως αντικείμενα οικοδόμησης φήμης, σχεδιασμένα για να αυξήσουν την εμπιστοσύνη και να ενθαρρύνουν την υιοθέτηση των πακέτων που έχουν μετατραπεί σε όπλα.

    Άμεσα μέτρα μετριασμού και αντιμετώπισης

    Οι οργανισμοί που εγκατέστησαν οποιοδήποτε από τα κακόβουλα πακέτα θα πρέπει να υποθέσουν ότι έχουν παραβιαστεί. Οι απαιτούμενες ενέργειες απόκρισης περιλαμβάνουν την άμεση αφαίρεση των επηρεαζόμενων βιβλιοθηκών, την εναλλαγή όλων των διαπιστευτηρίων που είναι προσβάσιμα από το περιβάλλον της εφαρμογής και έναν ενδελεχή έλεγχο της εξερχόμενης κίνησης δικτύου για απόπειρες συνδέσεων στην εντοπισμένη υποδομή C2.

    Η μη αποφασιστική αντίδραση μπορεί να αφήσει τα συστήματα ευάλωτα σε ανανεωμένη πρόσβαση από εισβολείς, εάν η υποδομή διοίκησης και ελέγχου τεθεί ξανά σε λειτουργία.

    Τάσεις

    Getfastbrowser.download

    Απατεώνες Ιστότοποι, Πιθανώς ανεπιθύμητα προγράμματα
    Η προστασία των συσκευών σας από ενοχλητικές και αναξιόπιστες εφαρμογές δεν είναι πλέον προαιρετική, είναι απαραίτητη. Τα δυνητικά ανεπιθύμητα προγράμματα (PUPs) μπορεί να φαίνονται ακίνδυνα με την...

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    23,084
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...