北韩网络攻击活动“闪亮的鲤鱼”
文章重点
北韩的网络威胁行动“闪亮的鲤鱼”被认为是拉撒路集团的一个子集。恶意的Python包被用于部署新型PondRAT恶意软件。被感染的包已从PyPI仓库中删除,能够执行后续有效载荷并部署PondRAT。PondRAT具备文件上传、下载及任意命令执行能力,针对Linux和macOS系统。合法的Python包被武器化,给组织构成严重风险。北韩的高级持续威胁APT行动“闪亮的鲤鱼”被认为是拉撒路集团Lazarus Group的一个子集,近期利用了恶意的Python包索引Package Index来促进新型PondRAT恶意软件的部署。根据《黑客新闻》,PondRAT被认为是POOLRAT macOS后门的一个更紧凑的版本。
Twitter加速器APP下载这四个已从PyPIPython包索引库中移除的被感染的包,允许在部署PondRAT之前执行编码的下一阶段有效载荷,支持Linux和macOS系统。PondRAT提供文件上传、下载及任意命令执行的能力,Palo Alto Networks的Unit 42报告指出。同时,袭击者还推出了更多Linux版本的POOLRAT木马。
Unit 42表示: “在多个操作系统上武器化合法的Python包对组织造成了重大风险,恶意第三方包的成功安装可能导致整个网络被感染。”
