Эволюция Python-бэкдоров: угроза безопасности в 2024

Эволюция Python-бэкдоров: угроза безопасности в 2024

В отчете GuidePoint Security о реагировании на инциденты в четвертом квартале 2024 года была описана сложная кибероперация, в ходе которой злоумышленники применили бэкдор на базе Python для доступа к скомпрометированным системам и развертывания шифровальщиков RansomHub. Информация о данной атаке важна для специалистов по кибербезопасности, так как подчеркивает необходимость постоянной бдительности.

Обнаружение нового бэкдора

После анализа инцидента были выявлены следующие ключевые моменты:

  • Хакеры использовали бэкдор на Python, который обеспечивал доступ к конечным точкам.
  • Развертывание шифровальщиков RansomHub происходило по уязвимой сети.
  • GuidePoint зафиксировал 18 IP-адресов, связанных с инфраструктурой управления (C2), и опубликовал их как «Ransomhub Python C2».
  • Внедрение бэкдора произошло примерно через 20 минут после первоначального заражения.
  • Процесс установки бэкдора был стандартизирован на всех скомпрометированных системах, без заметных отличий.

Структура и функциональность бэкдора

Обнаруженный бэкдор на Python функционирует как обратный прокси-сервер, подключаясь к фиксированному IP-адресу для создания SOCKS5-туннеля. Было замечено, что:

  • Скрипт не поддерживает адреса IPv6 и зарегистрирует ошибки для неподдерживаемых типов адресов.
  • Анализ сетевого трафика подтвердил успешные подключения и обмен байтами.
  • Код написан с высокой степенью удобочитаемости, возможно, с использованием генерации кода с помощью искусственного интеллекта.

Влияние на кибербезопасность

В сообщении GuidePoint подчеркивается, что хакеры постоянно совершенствуют свои методы. Об использовании бэкдоров на Python для обхода мер безопасности свидетельствует:

«Хакеры упорно используют бэкдоры Python для сохранения и обхода мер безопасности».

Специалисты компании выявили несколько активных адресов C2, связанных с аналогичными бэкдорами на Python, и намерены обновлять информацию о них через указанный канал.

Таким образом, данный инцидент демонстрирует эволюцию тактики хакеров и актуальность адаптации методов защиты в сфере кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: