Details zum Bedrohungsakteur „PYTA27“ Die Entwicklung eines Supply-Chain-Angreifers

Anbieter zum Thema

Checkmarx GmbH

PresseBox - unn | UNITED NEWS NETWORK GmbH

Confluent Germany GmbH

Die Bedrohungslandschaft im Open-Source-Ökosystem ist vielfältig und entwickelt sich ständig weiter. Nicht immer stehen böswillige Akteure im Rampenlicht – häufig legen sie Pausen ein und tauchen dann mit neuen TTPs wieder auf. Zu untersuchen, wie Angreifer ihre Methoden im Laufe der Zeit anpassen und verbessern, ist ein wertvolles Instrument für Sicherheitsexperten.

Vor Kurzem wurde das ursprüngliche W4SP Stealer Repository von GitHub entfernt. W4SP Stealer ist eine Open-Source-Malware, die darauf abzielt, Discord Konten, Passwörter, Krypto-Wallets, Kreditkarten- und andere sensible Daten zu stehlen und sie über einen zuvor erstellten Discord Webhook an Angreifer zu senden. Seitdem wurde dieses Konzept vielfach nachgeahmt – ANGEL Stealer, Celestial Stealer, Leaf $tealer und Zay Injection sind nur einige Beispiele dafür.

Bedrohungsakteur „PYTA27“

„PYTA27“ ist einer der Akteure, die diesen Angriffsvektor imitieren, und streut seine Pakete seit mindestens vier Monaten – und bis dato ist kein Ende in Sicht. Die Tatsache, dass dieser spezielle Angreifer bereits seit geraumer Zeit aktiv und bereit ist, seine Taktiken zu ändern, unterstreicht das anhaltend hohe Risiko, dem Benutzer im Open-Source-Ökosystem ausgesetzt sind, und deutet darauf hin, dass der Aufwand für den Angreifer selbst minimal ist. Andererseits bieten Fälle wie dieser Sicherheitsexperten jedoch auch die Gelegenheit, die Entwicklung böswilliger Akteure im Laufe der Zeit mitzuverfolgen, aus deren Taktiken zu lernen und so ihre eigenen Schutzmaßnahmen zu verbessern.

Plain Text

„PYTA27“ wurde erstmals am 11. September 2022 aktiv und veröffentlichte innerhalb einer Stunde vier Pakete mit dem Benutzerkonto „diazz“, alle mit der Beschreibung „Discord Code“. Drei der Pakete waren leer, aber eines von ihnen enthielt den Plain Text Code Zay Injection, der die W4SP Malware nachahmt.

In der Folge hat „PYTA27“ in jedem Paket unterschiedliche Techniken verwendet, um Schadcode zu verbergen und die Identifizierung des Payload zu erschweren.

Verschleierung

Am 12. September 2022 lud „PYTA27“ das Paket color-vividpy hoch, das zur Verschleierung das Pyobfuscate Tool verwendete.

Die vier Pakete, die als Nächstes hochgeladen wurden, zielten auf Discord ab. In zwei von ihnen wurde Hyperion verwendet, das ursprünglich im W4SP Stealer zum Einsatz kam, und in einem weiteren das Python Verschleierungstool von development-tools.net. Diese Art der Code-Verschleierung war vor über einem Jahr üblich – in den letzten Monaten allerdings griffen Angreifer seltener darauf zurück.

Voranstellen von legitimem Code

Eine weitere Technik besteht darin, dem Schadcode – sodass dieser zunächst schwer zu erkennen ist – legitimen Code voranzustellen. „PYTA27“ setzte weiterhin Verschleierung ein und fügte zusätzliche Daten hinzu, um die Malware noch besser zu kaschieren. Die jüngsten Pakete zielten darauf ab, Discord Benutzer mit Paketnamen und Beschreibungen wie „Zur Verwendung in Discord Tools, um einwandfreie Funktionalität ohne Fehler und Unterbrechungen zu gewährleisten!“ hinters Licht zu führen.

Download von Remote Code in einer zweiten Phase

Nach einer Pause von etwa anderthalb Monaten ging „PYTA27“ am 1. November 2022 wieder zum Angriff über und lud neue Pakete unter einem anderen Benutzernamen – „laurenjackson“ –, aber mit der gleichen Beschreibung wie zuvor hoch.

Die Technik änderte sich insofern ein weiteres Mal, als dass ein Snippet hinzugefügt wurde, das in einer zweiten Phase Remote-Code herunterlädt, ihn mit zufälligem Namen auf einem zufälligen Pfad speichert und ausführt.

Der heruntergeladene, verschleierte Code ist der Stealer. In einigen der Pakete hat „PYTA27“ durch das Hinzufügen des Keys SecurityHealthSystray.exe im Verzeichnis run in der Registry einen Persistenzmechanismus eingebaut, um den Payload beim Hochfahren zu triggern. Dies und die Tatsache, dass der Code einen lokalen Windows Pfad und die Python Bibliotheken winreg und wmi verwendet, deutet darauf hin, dass er nur auf Windows Rechnern läuft.

Der Leaf $Tealer

Zu diesem Zeitpunkt legte „PYTA27“ das Benutzerkonto „ch4zzin“ an, um weitere bösartige Pakete hochzuladen – diesmal mit verändertem Payload und unter Verwendung zweier neuer Arten von Stealern: Leaf $tealer und Celestial Stealer.

Der Leaf $tealer ist in einem GitHub Repository zu finden und wird wie folgt beschrieben:

„Stiehlt Discord Konten und Bitcoin Wallets (und erfasst Logins auf Websites wie Steam, PayPal, Sellix und verschiedenen anderen). Einmal ausgeführt, kompromittiert er den Computer des Opfers und sammelt selbst nach einem Neustart weiter Informationen (für Standard-Antivirensoftware nicht erkennbar).“

Fortsetzung folgt…

Nach einer erneuten Pause tauchte „PYTA27“ im Dezember 2022 wieder auf und veröffentlicht seitdem weiterhin bösartige Pakete mit geringfügigen Anpassungen. Zum alten Benutzernamen „laurenjackson“ zurückgekehrt, lud der Angreifer Pakete mit einem neuen C2-Server und einer Codezeile hoch, die sicherstellt, dass das Programm beendet wird, wenn das Host-Betriebssystem nicht Windows ist.

Der Grund für diesen Zusatz ist, dass das Paket nur für Windows ausgelegt ist; der Versuch, es auf anderen Betriebssystemen – wie etwa Linux – zu installieren, führt zu Fehlern. Momentan ist der verwendete C2-Server eine simple GitHub Page, die sich ändert, sobald ein neues Paket hochgeladen wird.

Entwicklung der TTPs

„PYTA27“ hat seine Taktiken, Techniken und Verfahren (TTPs) im Laufe der Zeit weiterentwickelt – von Plain Text Code über Verschleierungstools wie Pyobfuscate und Hyperion bis hin zum Verbergen von Schadcode durch das Voranstellen von legitimem Code.

Hartnäckigkeit ist ein weiterer wichtiger Aspekt – weil sie „PYTA27“ so gefährlich macht: Dieser Angreifer ist seit mindestens vier Monaten aktiv, ohne dass ein Ende in Sicht wäre. Die Bereitschaft von „PYTA27“, Taktiken zu ändern und verschiedene Techniken – wie zum Beispiel verschiedene Verschleierungstools – zu verwenden, ist außerdem Ausdruck des Versuchs, sich proaktiv einem Zugriff zu entziehen.

Fazit

Hartnäckige Angreifer, die im Open-Source-Ökosystem operieren, experimentieren und versuchen, Versionskontrollsysteme wie GitHub und Paketmanager wie PyPI und npm zu kompromittieren, sind eine ständige Bedrohung. Der Fall „PYTA27“ zeigt, dass sie bereit sind, ihre Methoden im Laufe der Zeit anzupassen und zu verbessern, was das Erkennen und Entfernen von Malware erschwert. Aus diesem Grund ist es für Sicherheitsexperten wichtig, über die neuesten TTPs von Bedrohungsakteuren – etwa mithilfe von Open Source Threat Intelligence – informiert zu sein, den offenen Informationsaustausch untereinander zu pflegen und ihre Schutzmaßnahmen kontinuierlich zu aktualisieren, um stets einen Schritt voraus und für diese Art von Angriffen auch in Zukunft gewappnet zu sein.

Über die Autorin: Für ihre Rolle als Security Researcher innerhalb des Checkmarx Supply Chain Security Research Teams bringt Tal Folkman mehr als 6 Jahre Erfahrung mit. Vor ihrem Engagement bei Checkmarx war Tal Red Team Leader in einer Eliteeinheit der Israel Defense Forces (IDF). Während ihres Militärdienstes lernte sie sowohl die offensive als auch die defensive Seite von Cyberangriffen kennen. Tal hält einen B.Sc. in Computer Science.

(ID:49531782)