Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra Ļaunprātīgas pakotņu izstrādātāju PHP pakotnes

Ļaunprātīgas pakotņu izstrādātāju PHP pakotnes

Līdz Mezo. gadam Ļaunprātīga programmatūra. gadā
Tulkot uz:

Kiberdrošības analītiķi vietnē Packagist ir identificējuši ļaunprātīgas PHP pakotnes, kas atdarina likumīgas Laravel palīgbibliotēkas, vienlaikus slepeni izvietojot starpplatformu attālās piekļuves Trojas zirgu (RAT). Ļaunprātīgā darbība nemanāmi darbojas Windows, macOS un Linux vidēs, radot ievērojamu risku skartajām sistēmām.

Identificētie iepakojumi ietver:

  • nhattuanbl/lara-helper (37 lejupielādes)
  • nhattuanbl/simple-queue (29 lejupielādes)
  • nhattuanbl/lara-swagger (49 lejupielādes)

Lai gan nhattuanbl/lara-swagger tieši nesatur ļaunprātīgu kodu, tas norāda nhattuanbl/lara-helper kā Composer atkarību, kā rezultātā tiek instalēts iegultais RAT. Neskatoties uz publisku izpaušanu, šīs pakotnes joprojām ir pieejamas repozitorijā un tās nekavējoties jānoņem no jebkuras skartās vides.

Aptumšošanas taktika slēpj ļaunprātīgu nodomu

Detalizēta koda analīze liecina, ka gan lara-helper, gan simple-queue satur failu ar nosaukumu src/helper.php, kas izstrādāts, lai izvairītos no atklāšanas. Ļaunprogrammatūra ietver uzlabotas slēpšanas stratēģijas, tostarp vadības plūsmas manipulāciju, kodētus domēnu nosaukumus un komandu virknes, slēptus failu ceļus un nejaušinātu mainīgo un funkciju identifikatorus.

Šīs metodes ievērojami sarežģī statisko analīzi un palīdz ļaunprātīgajai slodzei apiet tradicionālos koda pārskatīšanas un automatizētos drošības skenēšanas rīkus.

Komandvadības infrastruktūra nodrošina pilnīgu resursdatora pārņemšanu

Kad RAT ir izpildīts, tas izveido savienojumu ar komandu un vadības (C2) serveri vietnē helper.leuleu.net, izmantojot 2096. portu. Tas pārraida sistēmas izlūkošanas datus un pāriet pastāvīgā klausīšanās stāvoklī, gaidot turpmākus norādījumus. Saziņa notiek, izmantojot TCP protokolu, izmantojot PHP funkciju stream_socket_client().

Aizmugurējās durvis atbalsta plašu operatora izdoto komandu klāstu, nodrošinot pilnīgu sistēmas kontroli. Iespējas ietver:

  • Automātiski sirdsdarbības signāli ik pēc 60 sekundēm, izmantojot ping.
  • Sistēmas profilēšanas datu pārsūtīšana, izmantojot info.
  • Čaulas komandas izpilde (cmd).
  • PowerShell komandas izpilde (PowerShell).
  • Fona komandas izpilde (palaist).
  • Ekrānuzņēmums, izmantojot imagegrabscreen() (ekrānuzņēmums).
  • Failu eksfiltrācija (lejupielāde).
  • Patvaļīga failu augšupielāde ar lasīšanas, rakstīšanas un izpildes atļaujām, kas piešķirtas visiem lietotājiem (augšupielāde).
  • Savienojuma pārtraukšana un iziešana (apturēšana).

Lai maksimāli palielinātu uzticamību, RAT pārbauda PHP disable_functions konfigurāciju un atlasa pirmo pieejamo izpildes metodi no šīm: popen, proc_open, exec, shell_exec, system vai passthru. Šī adaptīvā pieeja ļauj apiet izplatītos PHP aizsardzības pasākumus.

Pastāvīgs atkārtotas savienošanās mehānisms palielina risku

Lai gan identificētais C2 serveris pašlaik nereaģē, ļaunprogrammatūra ir ieprogrammēta atkārtoti mēģināt izveidot savienojumu ik pēc 15 sekundēm nepārtrauktā ciklā. Šis saglabāšanas mehānisms nodrošina, ka kompromitētās sistēmas paliek neaizsargātas, ja uzbrucējs atjauno servera pieejamību.

Jebkura Laravel lietojumprogramma, kurā ir instalēta lara-helper vai simple-queue, efektīvi darbojas ar iegultu RAT. Draudu izpildītājs iegūst pilnīgu attālās čaulas piekļuvi, iespēju lasīt un modificēt patvaļīgus failus, kā arī nepārtrauktu sistēmas līmeņa informācijas pārredzamību par katru inficēto resursdatoru.

Izpildes konteksts pastiprina ietekmi

Aktivizēšana notiek automātiski lietojumprogrammas palaišanas laikā, izmantojot pakalpojumu sniedzēju vai, izmantojot klases automātisko ielādi vienkāršas rindas gadījumā. Tā rezultātā RAT tiek izpildīts tajā pašā procesā kā tīmekļa lietojumprogramma, mantojot identiskas failu sistēmas atļaujas un vides mainīgos.

Šis izpildes konteksts piešķir uzbrucējam piekļuvi sensitīviem resursiem, piemēram, datubāzes akreditācijas datiem, API atslēgām un .env faila saturam. Tādējādi kompromitēšana sniedzas tālāk par sistēmas līmeņa kontroli, nodrošinot pilnīgu lietojumprogrammu noslēpumu un infrastruktūras piekļuvi.

Uzticamības veidošanas stratēģija, izmantojot tīras pakotnes

Turpmākā izmeklēšana atklāj, ka tas pats izdevējs izlaida papildu pakotnes — nhattuanbl/lara-media, nhattuanbl/snooze un nhattuanbl/syslog —, kas nesatur ļaunprātīgu kodu. Šķiet, ka tās kalpo kā reputācijas veidošanas artefakti, kas paredzēti, lai palielinātu uzticību un veicinātu ieroču pakotņu ieviešanu.

Neatliekamie mazināšanas un reaģēšanas pasākumi

Organizācijām, kas instalēja kādu no ļaunprātīgajām pakotnēm, jāpieņem, ka pastāv kompromitācija. Nepieciešamās atbildes darbības ietver skarto bibliotēku tūlītēju noņemšanu, visu no lietojumprogrammas vides pieejamo akreditācijas datu rotāciju un rūpīgu izejošās tīkla datplūsmas auditu, lai noteiktu mēģinājumus izveidot savienojumus ar identificēto C2 infrastruktūru.

Ja netiks izlēmīgi reaģēts, sistēmas var kļūt neaizsargātas pret atkārtotu uzbrucēju piekļuvi, ja vadības un kontroles infrastruktūra atkal kļūs darbspējīga.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
23,084
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...