botaa3 Malware

在 Python Package Index (PyPI) 存儲庫中發現了另一個威脅包。在它被刪除之前，這個威脅已經成功地累積了大約 130 次下載。該軟件包被命名為“botaa3”，試圖模仿名稱“boto3”，這是一種廣受歡迎的用於 Python 的亞馬遜網絡服務 (AWS) 軟件開發工具包 (SDK)。

網絡安全專家分析了威脅的代碼並發現了其邪惡的功能。 botaa3 包，如果成功部署後，攻擊者將能夠在受攻擊的系統上執行任意代碼，從而有效地控制它。

技術細節

botaa3 包具有使用 base64 編碼和按位異或加密的多個級別的混淆。另外，它還攜帶了合法的boto3包的全部代碼。事實上，威脅安裝 boto3 作為其行動的一部分，試圖進一步避免引起任何懷疑。埋在代碼中的還有一個設置在 2020 年 11 月 17 日的“KillDate”。在此日期之後，botaa3 包將不再可用。

威脅能力

惡意軟件首先採取的行動之一是檢查其命令和控制（C2、C&C）服務器。在此步驟中，botaa3 會洩露從受害者係統中獲取的各種信息。數據包括 IP 地址、操作系統和架構詳細信息、帳戶憑據、主機名、FQDN（完全限定域名）等。

之後，botaa3 將等待傳入的命令。攻擊者能夠收集文件或下載其他文件、操縱文件系統（刪除文件和文件夾）、打開反向 shell、加載額外的 Python 模塊和腳本等。攻擊者還可以指示惡意軟件停止其活動並鋪設休眠。

在被告知存在 botaa3 威脅後，PyPI 安全團隊幾乎立即採取了行動並刪除了威脅包。