In Python-Paketen versteckte PondRAT-Malware zielt auf Software-Entwickler
Cyberkriminelle mit Verbindungen zu Nordkorea wurden dabei beobachtet, wie sie gezielt manipulierte Python-Pakete nutzen, um eine neu entwickelte Schadsoftware namens PondRAT zu verbreiten. PondRAT ermöglicht es den Angreifern, sensible Daten zu stehlen und umfangreiche Überwachungsmaßnahmen durchzuführen. Diese Aktivitäten sind Teil einer umfassenden und andauernden Kampagne.
Nach neuen Erkenntnissen von Palo Alto Networks Unit 42 handelt es sich bei PondRAT um eine vereinfachte Version von POOLRAT (auch bekannt als SIMPLESEA), einer macOS-Backdoor, die bereits der berüchtigten Lazarus-Gruppe zugeschrieben wurde. Diese Backdoor kam auch bei den Angriffen auf die Lieferkette von 3CX im vergangenen Jahr zum Einsatz.
Einige dieser Angriffe sind Teil der laufenden Cyberkampagne „Operation Dream Job“, bei der potenzielle Opfer mit verlockenden Jobangeboten geködert werden, um sie dazu zu bringen, Malware herunterzuladen.
Wie der Unit 42-Forscher Yoav Zemah erklärt, haben die Angreifer in diesem Zusammenhang mehrere manipulierte Python-Pakete auf PyPI hochgeladen, einem beliebten Repository für Open-Source Python-Pakete. Zemah weist darauf hin, dass die Aktivitäten wahrscheinlich mit einer Bedrohungsgruppe namens Gleaming Pisces in Verbindung stehen.
Diese Gruppe wird von der Cybersicherheits-Community unter verschiedenen Namen verfolgt, darunter Citrine Sleet, Labyrinth Chollima, Nickel Academy und UNC4736. Letztere ist ein Sub-Cluster der Lazarus-Gruppe, die auch für die Verbreitung der AppleJeus-Malware bekannt ist.
Ziel der Angriffe ist es vermutlich, über die Endpunkte von Entwicklern Zugang zu Lieferketten-Anbietern zu erlangen und anschließend auf die Systeme von deren Kunden zuzugreifen – ein Vorgehen, das bereits bei früheren Vorfällen beobachtet wurde. Die folgenden bösartigen Pakete wurden inzwischen aus dem PyPI-Repository entfernt:
- real-ids (893 Downloads)
- coloredtxt (381 Downloads)
- beautifultext (736 Downloads)
- minisound (416 Downloads)
Die Infektionskette ist relativ einfach: Sobald die manipulierten Pakete heruntergeladen und auf den Systemen der Entwickler installiert sind, starten sie automatisch eine verschlüsselte zweite Stufe. Diese Stufe lädt die Linux- und macOS-Versionen der RAT-Malware (Remote Access Trojan) von einem externen Server herunter und führt sie aus.
Weitere Untersuchungen von PondRAT haben gezeigt, dass es Ähnlichkeiten mit der Schadsoftware POOLRAT und AppleJeus gibt. Die Angriffe verbreiten zudem neue Linux-Varianten von POOLRAT. Laut Zemah verwenden die Linux- und macOS-Versionen von POOLRAT die gleiche Struktur, um ihre Konfigurationen zu laden, und weisen ähnliche Funktions- und Methodennamen auf. Die Ähnlichkeiten gehen so weit, dass die Methodennamen und Zeichenketten in beiden Versionen fast identisch sind. Auch der Mechanismus, der Befehle vom Command-and-Control-Server verarbeitet, ist nahezu gleich. PondRAT, eine abgespeckte Version von POOLRAT, besitzt Funktionen wie das Hoch- und Herunterladen von Dateien, das Pausieren von Operationen für einen bestimmten Zeitraum und das Ausführen beliebiger Befehle.
Die Entdeckung neuer Linux-Varianten von POOLRAT deutet darauf hin, dass die Gruppe Gleaming Pisces ihre Fähigkeiten sowohl für Linux- als auch für macOS-Plattformen erweitert hat. Unit 42 warnt, dass die Nutzung von legitim erscheinenden Python-Paketen, die auf mehreren Betriebssystemen funktionieren, ein erhebliches Risiko für Unternehmen darstellt. Wird eines dieser bösartigen Pakete installiert, kann es das gesamte Netzwerk infizieren und gefährden.
Die Enthüllung erfolgt zu einer Zeit, in der KnowBe4 berichtet, dass das Unternehmen unwissentlich einen nordkoreanischen Bedrohungsakteur als Mitarbeiter eingestellt hat. Laut KnowBe4 haben mehr als ein Dutzend Unternehmen entweder nordkoreanische Mitarbeitende eingestellt oder sind mit gefälschten Lebensläufen und Bewerbungen überschwemmt worden. Diese wurden von Nordkoreanern eingereicht, die versuchten, in den Unternehmen eine Anstellung zu finden.
CrowdStrike bezeichnete diese Aktivitäten, die unter dem Namen Famous Chollima verfolgt werden, als eine „komplexe, groß angelegte staatlich gesteuerte Operation“, die ein erhebliches Risiko für Unternehmen darstellt, deren Mitarbeitende vollständig remote arbeiten.
Mandiant beschreibt die TTPs der nordkoreanischen IT-Arbeiter
Laut dem Google-Unternehmen Mandiant werden nordkoreanischer IT-Arbeiter von der Regierung ins Ausland geschickt, um in westlichen Unternehmen, vor allem im US-Technologiebereich, lukrative Jobs zu ergattern. Diese Personen, von Mandiant als UNC5267 bezeichnet, werden gezielt nach China, Russland sowie in geringerem Maße nach Afrika und Südostasien entsandt.
UNC5267 nutzt gestohlene Identitäten, um sich auf verschiedene Stellen zu bewerben oder als Auftragnehmer eingestellt zu werden. Besonders im Fokus stehen Positionen, die vollständig remote, also aus der Ferne, ausgeübt werden können. Ein auffälliges Merkmal ist, dass ein einzelner IT-Arbeiter oft mehrere Jobs gleichzeitig ausführt und von verschiedenen Unternehmen monatlich bezahlt wird.
Wie Mandiant herausfand, verfolgt UNC5267 mehrere langfristige Ziele, darunter finanziellen Gewinn durch illegale Gehaltsabhebungen, den langfristigen Zugang zu den Netzwerken der Opfer und möglicherweise die Nutzung dieses Zugangs für Spionage oder Störaktivitäten. Auffällig ist dabei die Verwendung von US-Adressen in den Lebensläufen, kombiniert mit Bildungsabschlüssen von Universitäten in Asien, wie in Singapur, Japan oder Hongkong.
Mandiant stellt fest, dass diese nordkoreanischen Akteure Remote-Verbindungstools wie GoToRemote, GoToMeeting, Chrome Remote Desktop, AnyDesk und TeamViewer nutzen, um sich mit firmeneigenen Laptops zu verbinden. Dabei verwenden sie IP-Adressen, die mit dem VPN-Dienst Astrill verbunden sind. Ein weiterer auffälliger Aspekt ist, dass die Laptops oft an Orte geschickt werden, die nicht mit den angegebenen Wohnorten der IT-Arbeiter übereinstimmen. Das deutet auf die Existenz sogenannter „Laptop-Farmen“ hin. Dabei handelt es sich um eine Sammlung von Laptops, die an einem bestimmten Ort zentral gelagert und verwaltet werden, aber von verschiedenen Personen oder Gruppen genutzt werden, um remote auf Unternehmensnetzwerke zuzugreifen.
Diese Laptop-Farmen ermöglichen es den Angreifern, über verschiedene Geräte an einem Ort zu arbeiten, während sie gleichzeitig ihren tatsächlichen Aufenthaltsort und ihre Identität verschleiern. Dadurch können sie ihre Aktivitäten zentral koordinieren, während sie die Unternehmen glauben lassen, dass ihre Mitarbeiter von legitimen Adressen aus arbeiten.
Mandiant betont, dass diese IT-Arbeiter eine wachsende Cyber-Bedrohung darstellen. Ihre Aktivitäten sind sowohl von staatlichen Zielen als auch vom Streben nach persönlichem finanziellen Gewinn getrieben, was sie besonders gefährlich macht.