Эволюция Python-бэкдоров: угроза безопасности в 2024

В отчете GuidePoint Security о реагировании на инциденты в четвертом квартале 2024 года была описана сложная кибероперация, в ходе которой злоумышленники применили бэкдор на базе Python для доступа к скомпрометированным системам и развертывания шифровальщиков RansomHub. Информация о данной атаке важна для специалистов по кибербезопасности, так как подчеркивает необходимость постоянной бдительности.
Обнаружение нового бэкдора
После анализа инцидента были выявлены следующие ключевые моменты:
- Хакеры использовали бэкдор на Python, который обеспечивал доступ к конечным точкам.
- Развертывание шифровальщиков RansomHub происходило по уязвимой сети.
- GuidePoint зафиксировал 18 IP-адресов, связанных с инфраструктурой управления (C2), и опубликовал их как «Ransomhub Python C2».
- Внедрение бэкдора произошло примерно через 20 минут после первоначального заражения.
- Процесс установки бэкдора был стандартизирован на всех скомпрометированных системах, без заметных отличий.
Структура и функциональность бэкдора
Обнаруженный бэкдор на Python функционирует как обратный прокси-сервер, подключаясь к фиксированному IP-адресу для создания SOCKS5-туннеля. Было замечено, что:
- Скрипт не поддерживает адреса IPv6 и зарегистрирует ошибки для неподдерживаемых типов адресов.
- Анализ сетевого трафика подтвердил успешные подключения и обмен байтами.
- Код написан с высокой степенью удобочитаемости, возможно, с использованием генерации кода с помощью искусственного интеллекта.
Влияние на кибербезопасность
В сообщении GuidePoint подчеркивается, что хакеры постоянно совершенствуют свои методы. Об использовании бэкдоров на Python для обхода мер безопасности свидетельствует:
«Хакеры упорно используют бэкдоры Python для сохранения и обхода мер безопасности».
Специалисты компании выявили несколько активных адресов C2, связанных с аналогичными бэкдорами на Python, и намерены обновлять информацию о них через указанный канал.
Таким образом, данный инцидент демонстрирует эволюцию тактики хакеров и актуальность адаптации методов защиты в сфере кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



