North Korea-linked APT Gleaming Pisces deliver new PondRAT backdoor via malicious Python packages
- APT 그룹 및 캠페인 개요
- 북한 연계 APT 그룹인 Gleaming Pisces가 PondRAT라는 새로운 백도어 악성코드를 배포
- Unit 42 연구원들은 Linux와 macOS 환경에서 PondRAT이 포함된 악성 Python 패키지를 통해 악성코드 배포 캠페인을 발견
- 해당 그룹은 과거에도 POOLRAT(SIMPLESEA)이라는 macOS 원격 제어 도구를 사용했으며, PondRAT는 그 경량화 버전으로 분석됨
- 공격 방법
- PyPI(Python Package Index) 에 악성 패키지를 업로드하여 개발자 및 그들의 공급망을 타겟으로 함
- 악성 패키지 설치 후 bash 명령어를 실행하여 백도어를 다운로드하고, 권한을 수정한 후 실행
- PondRAT는 파일 업로드 및 다운로드, 명령 실행, 휴면 상태 진입 등의 기능을 제공하며, 이는 POOLRAT와 유사한 기능을 가지나 경량화된 버전
- 발견된 악성 패키지
- PyPI 저장소에 업로드된 악성 패키지들은 이미 제거된 상태이며, 다운로드 수는 아래와 같음
- real-ids: 893회
- coloredtxt: 381회
- beautifultext: 736회
- minisound: 416회
- PyPI 저장소에 업로드된 악성 패키지들은 이미 제거된 상태이며, 다운로드 수는 아래와 같음
- 분석 및 결과
- POOLRAT와 PondRAT의 분석 결과, 암호화 키, 함수 구조, 실행 흐름이 상당히 유사하다는 점에서 같은 APT 그룹이 관여했을 가능성이 큼
- PondRAT는 파일 전송, 명령 실행, 시스템 상태 확인 등의 기능을 가지며, POOLRAT에 비해 제한된 기능을 제공
- 위협 및 시사점
- PyPI와 같은 공개 저장소에 악성 패키지를 업로드하는 방식은 탐지 회피 및 공급망 공격에 매우 취약
- 성공적으로 설치된 악성 서드파티 패키지는 네트워크 전체를 감염시킬 위험이 있음
- 결론
- Gleaming Pisces는 Linux와 macOS 플랫폼을 모두 타겟으로 공격 능력을 지속적으로 발전시키고 있음
- 정상적인 Python 패키지를 가장한 악성코드 배포는 탐지가 어려워 조직에 큰 위험을 초래하며, 보안 체계 강화가 필요함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
디즈니, 보안 침해 이후 Slack 대신 Microsoft Teams로 전환 (0) | 2024.09.24 |
---|---|
Apple macOS Sequoia 업데이트로 인한 보안 도구 호환성 문제 (0) | 2024.09.24 |
농협금융그룹, IT 투자에 1조 인건비 논란: 실질적 대안 필요 (1) | 2024.09.24 |
개인정보 보호를 위한 2024년도 내정보지킴이 캠페인 시작 (0) | 2024.09.24 |
서울시 정보보안과 신설 (1) | 2024.09.24 |