Botaa3 Haittaohjelma

Python Package Index (PyPI) -arkistosta löydettiin toinen uhkaava paketti. Ennen kuin se poistettiin, uhka oli onnistunut keräämään noin 130 latausta. Paketti nimettiin "botaa3" huonolla yrityksellä jäljitellä nimeä "boto3", laajalti suosittu Amazon Web Services (AWS) Software Development Kit (SDK) Pythonille.

Kyberturvallisuusasiantuntijat analysoivat uhan koodin ja havaitsivat sen ilkeät ominaisuudet. Botaa3-paketti, josonnistuneesti käyttöönotettuna, antaisi hyökkääjille mahdollisuuden suorittaa mielivaltaista koodia rikotussa järjestelmässä ja ottaa sen tehokkaasti hallintaansa.

Tekniset yksityiskohdat

Botaa3-paketti sisälsi useita hämärtymistasoja käyttäen base64-koodausta ja bittikohtaista XOR-salausta. Lisäksi se sisältää myös laillisen boto3-paketin koko koodin. Itse asiassa uhka asentaa boto3:n osana toimiaan yrittääkseen edelleen välttää epäilyksiä. Koodiin on haudattu myös "KillDate", joka on asetettu 17. marraskuuta 2020. Tämän päivämäärän jälkeen botaa3-paketti ei ole enää toiminnassa.

Uhkaavat ominaisuudet

Yksi haittaohjelman ensimmäisistä toimista on tarkistaa sen Command-and-Control (C2, C&C) palvelimelta. Tämän vaiheen aikana botaa3 suodattaa erilaisia tietoja, jotka on otettu uhrin järjestelmästä. Tiedot sisältävät IP-osoitteen, käyttöjärjestelmän ja arkkitehtuurin tiedot, tilin tunnistetiedot, isäntänimen, FQDN:n (täysin hyväksytty verkkotunnus) ja paljon muuta.

Myöhemmin botaa3 odottaa saapuvia komentoja. Uhkatoimijat pystyvät keräämään tiedostoja tai lataamaan lisää, manipuloimaan tiedostojärjestelmää (poistamaan tiedostoja ja kansioita), avaamaan käänteisiä kuoria, lataamaan lisää Python-moduuleja ja komentosarjoja jne. Hyökkääjät voivat myös ohjeistaa haittaohjelmia lopettamaan toimintansa ja luopumaan. lepotilassa.

Saatuaan ilmoituksen botaa3-uhan olemassaolosta PyPI-turvatiimi ryhtyi toimiin lähes välittömästi ja poisti uhkaavan paketin.