Kant's IT/Issue on IT&Security

북한 연계 APT 그룹 Gleaming Pisces, 악성 Python 패키지 통해 PondRAT 백도어 배포

Kant Jo 2024. 9. 24. 22:38

North Korea-linked APT Gleaming Pisces deliver new PondRAT backdoor via malicious Python packages

 

North Korea-linked APT Gleaming Pisces deliver new PondRAT backdoor via malicious Python packages

North Korea-linked APT group Gleaming Pisces is distributing a new malware called PondRAT through tainted Python packages.

securityaffairs.com

 

  • APT 그룹 및 캠페인 개요
    • 북한 연계 APT 그룹Gleaming PiscesPondRAT라는 새로운 백도어 악성코드를 배포
    • Unit 42 연구원들LinuxmacOS 환경에서 PondRAT이 포함된 악성 Python 패키지를 통해 악성코드 배포 캠페인을 발견
    • 해당 그룹은 과거에도 POOLRAT(SIMPLESEA)이라는 macOS 원격 제어 도구를 사용했으며, PondRAT는 그 경량화 버전으로 분석됨
  • 공격 방법
    • PyPI(Python Package Index) 에 악성 패키지를 업로드하여 개발자 및 그들의 공급망을 타겟으로 함
    • 악성 패키지 설치 후 bash 명령어를 실행하여 백도어를 다운로드하고, 권한을 수정한 후 실행
    • PondRAT는 파일 업로드 및 다운로드, 명령 실행, 휴면 상태 진입 등의 기능을 제공하며, 이는 POOLRAT와 유사한 기능을 가지나 경량화된 버전
  • 발견된 악성 패키지
    • PyPI 저장소에 업로드된 악성 패키지들은 이미 제거된 상태이며, 다운로드 수는 아래와 같음
      • real-ids: 893회
      • coloredtxt: 381회
      • beautifultext: 736회
      • minisound: 416회
  • 분석 및 결과
    • POOLRATPondRAT의 분석 결과, 암호화 키, 함수 구조, 실행 흐름이 상당히 유사하다는 점에서 같은 APT 그룹이 관여했을 가능성이 큼
    • PondRAT는 파일 전송, 명령 실행, 시스템 상태 확인 등의 기능을 가지며, POOLRAT에 비해 제한된 기능을 제공
  • 위협 및 시사점
    • PyPI와 같은 공개 저장소에 악성 패키지를 업로드하는 방식은 탐지 회피공급망 공격에 매우 취약
    • 성공적으로 설치된 악성 서드파티 패키지는 네트워크 전체를 감염시킬 위험이 있음
  • 결론
    • Gleaming PiscesLinuxmacOS 플랫폼을 모두 타겟으로 공격 능력을 지속적으로 발전시키고 있음
    • 정상적인 Python 패키지를 가장한 악성코드 배포는 탐지가 어려워 조직에 큰 위험을 초래하며, 보안 체계 강화가 필요함