botaa3 Malware

W repozytorium Python Package Index (PyPI) odkryto kolejny zagrażający pakiet. Zanim zostało usunięte, zagrożenie zdołało zebrać około 130 pobrań. Pakiet został nazwany „botaa3” w kiepskiej próbie naśladowania nazwy „boto3”, szeroko popularnego zestawu SDK (Software Development Kit) Amazon Web Services (AWS) dla Pythona.

Eksperci ds. cyberbezpieczeństwa przeanalizowali kod zagrożenia i odkryli jego nikczemne możliwości. Pakiet botaa3, jeślipomyślnie wdrożony, umożliwiłby atakującym wykonanie dowolnego kodu na naruszonym systemie, skutecznie przejmując nad nim kontrolę.

Szczegóły techniczne

Pakiet botaa3 zawierał kilka poziomów zaciemniania przy użyciu kodowania base64 i bitowego szyfrowania XOR. Ponadto zawiera cały kod legalnego pakietu boto3. W rzeczywistości zagrożenie instaluje boto3 w ramach swoich działań, próbując dalej unikać wzbudzania jakichkolwiek podejrzeń. W kodzie ukryty jest również „KillDate” ustawiony na 17 listopada 2020 r. Po tej dacie pakiet botaa3 przestanie działać.

Zdolności grożące

Jednym z pierwszych działań podejmowanych przez szkodliwe oprogramowanie jest sprawdzenie się na jego serwerze Command-and-Control (C2, C&C). Podczas tego kroku botaa3 eksfiltruje różne informacje pobrane z systemu ofiary. Dane obejmują adres IP, szczegóły systemu operacyjnego i architektury, poświadczenia konta, nazwę hosta, FQDN (w pełni kwalifikowaną nazwę domeny) i inne.

Następnie botaa3 będzie czekać na nadchodzące polecenia. Aktorzy zagrożeń są w stanie zbierać pliki lub pobierać dodatkowe, manipulować systemem plików (usuwać pliki i foldery), otwierać odwrócone powłoki, ładować dodatkowe moduły i skrypty Pythona itp. Atakujący mogą również nakazać szkodliwemu oprogramowaniu zaprzestanie działań i uśpiony.

Po otrzymaniu powiadomienia o obecności zagrożenia botaa3, zespół bezpieczeństwa PyPI niemal natychmiast podjął działania i usunął pakiet zawierający groźby.