Ένα νέο πακέτο μιμείται τη δημοφιλή βιβλιοθήκη «αιτημάτων» Python Package Index (PyPI), για τη στόχευση συσκευών macOS με το πλαίσιο Sliver C2, που χρησιμοποιείται για την απόκτηση αρχικής πρόσβασης σε εταιρικά δίκτυα.
Δείτε επίσης: Το PyPI αναστέλλει νέες εγγραφές για αποκλεισμό εκστρατείας malware
Η καμπάνια, που ανακαλύφθηκε από το Phylum, περιλαμβάνει πολλά βήματα και επίπεδα συσκότισης, συμπεριλαμβανομένης της χρήσης steganography σε ένα αρχείο εικόνας PNG για την κρυφή εγκατάσταση του ωφέλιμου φορτίου Sliver στον στόχο.
Το κακόβουλο πακέτο PyPI έχει αφαιρεθεί, αλλά η ανακάλυψή του είναι ένα ακόμα σημάδι της αυξημένης υιοθέτησης της απομακρυσμένης πρόσβασης σε εταιρικά δίκτυα από τη Sliver.
Η Sliver είναι μια σουίτα δοκιμών ανοιχτού κώδικα ανταγωνιστικού πλαισίου πολλαπλών πλατφορμών (Windows, macOS, Linux) που έχει σχεδιαστεί για λειτουργίες “κόκκινης ομάδας”, προσομοιώνοντας ενέργειες αντιπάλου κατά τη δοκιμή άμυνας δικτύου.
Τα βασικά χαρακτηριστικά του περιλαμβάνουν δυνατότητες δημιουργίας προσαρμοσμένων εμφυτευμάτων, εντολών και ελέγχου (C2), εργαλεία/σενάρια μετά την εκμετάλλευση και πλούσιες επιλογές εξομοίωσης επίθεσης.
Δείτε ακόμα: Κακόβουλα πακέτα PyPi δημιουργήθηκαν από τη Lazarus
Εξαιτίας αυτού, οι hackers άρχισαν να χρησιμοποιούν το Sliver το 2022 κυρίως ως εναλλακτική λύση στο εμπορικό πλαίσιο δοκιμής Cobalt Strike, το οποίο, μετά από πολλά χρόνια κατάχρησης, έχει γίνει ευκολότερο να εντοπιστεί και να αποκλειστεί.
Αργότερα εκείνο το έτος, το Sliver εθεάθη να στοχεύει συσκευές macOS από ερευνητές στο SentinelOne, οι οποίοι ανακάλυψαν το εμφύτευμα που χρησιμοποιήθηκε σε μια ψεύτικη εφαρμογή VPN.
Το ποσοστό υιοθέτησης από εγκληματίες του κυβερνοχώρου συνέχισε να αυξάνεται σταθερά το 2023, όταν το Sliver εντοπίστηκε σε επιθέσεις BYOVD και σε επιχειρήσεις ransomware.
Μια συμβουλή κυβερνοασφάλειας από την CISA και το FBI από τον Φεβρουάριο του 2024 τόνισε για άλλη μια φορά την ανερχόμενη θέση του Sliver ως ένα από τα κοινά εμφυτεύματα που χρησιμοποιούνται από hacker που παραβιάζουν δίκτυα μετά την εκμετάλλευση των Ivanti Connect Secure και Policy Secure Gateways.
Δείτε επίσης: Το WhiteSnake Stealer Malware μεταφέρεται σε υπολογιστές με Windows
Πώς μπορούμε να εντοπίσουμε και να αποτρέψουμε τα backdoors;
Για να εντοπίσουμε και να αποτρέψουμε backdoors, όπως αυτό που εγκαθιστά το πακέτο PyPi, είναι σημαντικό να εφαρμόσουμε μια σειρά από στρατηγικές και τεχνολογίες που θα μας βοηθήσουν να προστατεύσουμε τα συστήματά μας από κακόβουλες επιθέσεις.
- Ένας από τους πρώτους τρόπους είναι η χρήση ισχυρών και ενημερωμένων λογισμικών ασφαλείας, όπως antivirus και antimalware προγράμματα, τα οποία μπορούν να ανιχνεύσουν και να απομακρύνουν κακόβουλο λογισμικό.
- Η τακτική ενημέρωση του λειτουργικού συστήματος και των εφαρμογών είναι επίσης κρίσιμη.
- Η παρακολούθηση της δικτυακής κίνησης και η χρήση εργαλείων ανάλυσης δικτύου μπορούν να βοηθήσουν στον εντοπισμό ύποπτης δραστηριότητας.
- Η εφαρμογή πολιτικών ισχυρής ταυτοποίησης και ελέγχου πρόσβασης μπορεί να μειώσει τον κίνδυνο εγκατάστασης backdoors.
- Η εκπαίδευση των χρηστών σχετικά με τις βέλτιστες πρακτικές ασφαλείας και η ευαισθητοποίησή τους για τις απειλές από backdoors είναι επίσης σημαντική.
- Η τακτική διεξαγωγή ελέγχων ασφαλείας και η αξιολόγηση των συστημάτων για ευπάθειες μπορεί να βοηθήσει στον εντοπισμό και την αποτροπή backdoors.
- Η χρήση εργαλείων καταγραφής και παρακολούθησης συστημάτων μπορεί να βοηθήσει στην ανίχνευση ανωμαλιών και ύποπτων δραστηριοτήτων που μπορεί να υποδηλώνουν την παρουσία ενός backdoor.
Πηγή: bleepingcomputer
