Botaa3 멀웨어

또 다른 위협적인 패키지가 PyPI(Python Package Index) 저장소에서 발견되었습니다. 이 위협은 제거되기 전에 약 130개의 다운로드를 기록했습니다. 이 패키지의 이름은 널리 사용되는 Python용 Amazon Web Services(AWS) SDK(소프트웨어 개발 키트)인 'boto3'을 흉내내기 위해 부적절하게 'botaa3'으로 지정되었습니다.

사이버 보안 전문가들은 위협의 코드를 분석하고 그 악의적인 능력을 발견했습니다. botaa3 패키지의 경우성공적으로 배포되면 공격자에게 침해된 시스템에서 임의의 코드를 실행하여 효과적으로 제어할 수 있는 기능을 제공합니다.

기술적 세부 사항

botaa3 패키지는 base64 인코딩 및 비트 XOR 암호화를 사용하여 여러 수준의 난독화를 제공했습니다. 또한 합법적인 boto3 패키지의 전체 코드도 포함합니다. 사실, 위협 요소는 의심을 더 피하기 위해 boto3를 작업의 일부로 설치합니다. 2020년 11월 17일에 설정된 'KillDate'도 코드에 묻혀 있습니다. 이 날짜 이후에는 botaa3 패키지가 더 이상 작동하지 않습니다.

위협적인 능력

멀웨어가 취하는 첫 번째 조치 중 하나는 명령 및 제어(C2, C&C) 서버를 확인하는 것입니다. 이 단계에서 botaa3는 피해자의 시스템에서 가져온 다양한 정보를 추출합니다. 데이터에는 IP 주소, OS 및 아키텍처 세부 정보, 계정 자격 증명, 호스트 이름, FQDN(정규화된 도메인 이름) 등이 포함됩니다.

그 후 botaa3는 들어오는 명령을 기다립니다. 위협 행위자는 파일을 수집하거나 추가 파일을 다운로드하고, 파일 시스템을 조작(파일 및 폴더 삭제)하고, 역 셸을 열고, 추가 Python 모듈 및 스크립트를 로드하는 등의 작업을 수행할 수 있습니다. 또한 공격자는 맬웨어에 활동을 중지하도록 지시할 수 있습니다. 잠자는.

botaa3 위협이 있다는 알림을 받은 후 PyPI 보안 팀은 거의 즉시 조치를 취하고 위협적인 패키지를 제거했습니다.