botaa3 Malware

Python Paket İndeksi (PyPI) deposunda başka bir tehdit paketi keşfedildi. Kaldırılmadan önce, tehdit yaklaşık 130 indirme yapmayı başarmıştı. Paket, Python için yaygın olarak kullanılan Amazon Web Services (AWS) Yazılım Geliştirme Kiti (SDK) olan "boto3" adını taklit etme girişiminde bulunarak "botaa3" olarak adlandırıldı.

Siber güvenlik uzmanları, tehdidin kodunu analiz etti ve tehlikeli yeteneklerini keşfetti. botaa3 paketi, eğerBaşarılı bir şekilde konuşlandırılırsa, saldırganlara, ihlal edilen sistem üzerinde keyfi kod yürütme ve sistemin kontrolünü etkin bir şekilde ele geçirme yeteneği sağlar.

Teknik detaylar

botaa3 paketi, base64 kodlaması ve bit düzeyinde XOR şifrelemesi kullanan çeşitli şaşırtma düzeyleri içeriyordu. Ayrıca meşru boto3 paketinin tüm kodunu da taşır. Aslında tehdit, herhangi bir şüphe uyandırmaktan kaçınmak için eylemlerinin bir parçası olarak boto3'ü yükler. Kodun içinde ayrıca 17 Kasım 2020'de ayarlanmış bir 'KillDate' var. Bu tarihten sonra botaa3 paketi artık çalışmayacak.

Tehdit Edici Yetenekler

Kötü amaçlı yazılımın yaptığı ilk işlemlerden biri, Komuta ve Kontrol (C2, C&C) sunucusunu kontrol etmektir. Bu adım sırasında, botaa3 kurbanın sisteminden alınan çeşitli bilgileri sızdırır. Veriler IP adresi, işletim sistemi ve mimari ayrıntıları, hesap kimlik bilgileri, ana bilgisayar adı, FQDN (tam nitelikli alan adı) ve daha fazlasını içerir.

Sonrasında botaa3 gelen komutları bekleyecektir. Tehdit aktörleri dosya toplayabilir veya ek dosyalar indirebilir, dosya sistemini değiştirebilir (dosyaları ve klasörleri silebilir), ters kabukları açabilir, ek Python modülleri ve komut dosyaları yükleyebilir, vb. uykuda.

Botaa3 tehdidinin varlığından haberdar edildikten sonra, PyPI güvenlik ekibi hemen harekete geçti ve tehdit paketini kaldırdı.