Yeni bir paket, kurumsal ağlara ilk erişim elde etmek için kullanılan MacOS cihazlarını hedeflemek için Python Paket Dizini'ndeki (PYPI) popüler 'istekler' kütüphanesini taklit etti.
Phylum tarafından keşfedilen kampanya, şerit yükünü hedefe gizlice yüklemek için bir PNG görüntü dosyasında steganografi kullanma da dahil olmak üzere birkaç adım ve gizleme katmanını içerir.
Bunu yazarken, kötü niyetli PYPI paketi kaldırıldı, ancak keşfi, Sliver'ın kurumsal ağlara uzaktan erişimin arttırılmasının artmasının bir başka işaretidir.
Sliver, "Kırmızı Takım" işlemleri için tasarlanmış, ağ savunmalarını test ederken düşman eylemlerini simüle eden bir platform (Windows, MacOS, Linux) açık kaynaklı düşmanca çerçeve test paketidir.
Temel özellikleri arasında özel implant üretimi, komut ve kontrol (C2) özellikleri, sömürme sonrası araçlar/komut dosyaları ve zengin saldırı emülasyon seçenekleri bulunur.
Bu nedenle, bilgisayar korsanları 2022'de Sliver'ı öncelikle ticari kalem test çerçevesine alternatif olarak kullanmaya başladı, bu da uzun yıllar istismardan sonra tespit edilmesi ve engellenmesi daha kolay hale geldi.
O yılın ilerleyen saatlerinde Sliver, sahte bir VPN uygulaması gibi görünen implantı keşfeden Sentinelone'daki araştırmacılar tarafından macOS cihazlarını hedefliyor.
Siber suçluların benimsenme oranı, Sliver'ın BYOVD saldırılarında ve fidye yazılımı operasyonlarında tespit edildiğinde 2023'te istikrarlı bir şekilde artmaya devam etti.
Şubat 2024'ten itibaren CISA ve FBI tarafından yapılan bir siber güvenlik danışmanlığı, Sliver'ın Ivanti'yi kullandıktan sonra ağları ihlal eden hackerlar tarafından kullanılan ortak implantlardan biri olarak artan statüsünü bir kez daha vurguladı.
Phylum tarafından görülen son saldırıda, saldırı, popüler 'istekler' kütüphanesinin iyi huylu çatalı olarak sunulan 'Requests-Darwin-Lite' adlı macOS için kötü niyetli bir Python paketi ile başlar.
PYPI'da barındırılan paket, Sliver's Binary'i İstekler logosunu içeren 17MB PNG görüntü dosyasının içinde içerir.
Bir macOS sistemine kurulum sırasında, bir PyinStall sınıfı, sistemin UUID'ini (Universal Benzersiz Tanımlayıcı) alan bir komutu (IOREG) çalıştırmak için Base64 kodlu bir dizeyi çözmek için yürütülür.
UUID, paketin gerçek hedefe yüklendiğini doğrulamak için kullanılır ve önceden tanımlanmış bir UUID ile karşılaştırılır.
Bir eşleşme olduğunda, PNG dosyasının içindeki Go ikili, dosyanın ofsetindeki belirli bir kısımdan okunur ve çıkarılır.
Sliver ikili, yürütülebilir hale getirmek için değiştirilmiş dosya izinleri olan yerel bir dosyaya yazılır ve sonunda arka planda başlatılır.
Phylum'un PYPI ekibine Darwin-Lite istekleri raporunun ardından paket kaldırıldı.
Kötü niyetli sürümler 2.27.1 ve 2.27.2 iken, sonraki 2.28.0 ve 2.28.1, kötü amaçlı değişiklikler ve kurulum kancası eksikti.
Phylum, bunun özellikle UUID kontrolü göz önüne alındığında, yüksek hedefli bir saldırı olduğunu varsayar, bu nedenle tehdit aktörleri muhtemelen istenmeyen dikkat çekmekten kaçınmak için paketi iyi huylu bir duruma geri döndürür.
Geçen ay, araştırmacılar Steganoamor adlı kötü niyetli bir kampanya hakkında, çeşitli kötü amaçlı yazılım araçlarını hedeflenen sistemlere sunmak için steganografi kullanarak görüntüler içinde kötü amaçlı kodları gizleyen bir kampanya hakkında rapor verdiler.
Bu kampanya yaygındı ve çeşitli sektörleri ve ülkeleri hedefleyen 320'den fazla saldırı.
PYPI, kötü amaçlı yazılım kampanyasını engellemek için yeni kullanıcı kaydını askıya alıyor
Hackerlar En Büyük Discord Bot Platformundan Kaynak Kodu
Oracle, MacOS 14.4 güncellemesinin Apple CPU'larında Java'yı kırdığı konusunda uyarıyor
Apple Safari Webkit Sıfırlık Gün Kusurunu Pwn2own'da sömürdü
Eski iPhone'lara yapılan saldırılarda sıfır gün için elma backports düzeltme
Kaynak: Bleeping Computer