Ερευνητές κυβερνοασφάλειας αποκάλυψαν πρόσφατα λεπτομέρειες για ένα stealthy πλαίσιο κακόβουλου λογισμικού που βασίζεται στην Python, με την ονομασία DEEP#DOOR, το οποίο διαθέτει δυνατότητες για δημιουργία επίμονης πρόσβασης και συλλογή ευαίσθητων πληροφοριών από παραβιασμένους κεντρικούς υπολογιστές.
Σύμφωνα με την έκθεση της Securonix, η αλυσίδα διείσδυσης ξεκινά με την εκτέλεση ενός batch script που απενεργοποιεί τους ελέγχους ασφαλείας των Windows, εξάγει δυναμικά ένα ενσωματωμένο ωφέλιμο φορτίο Python και εγκαθιστά πολλαπλούς μηχανισμούς επιμονής. Αν και η διανομή του script φαίνεται να γίνεται μέσω παραδοσιακών μεθόδων όπως το phishing, η ανάλυση δείχνει ότι η χρήση του είναι περιορισμένη και στοχευμένη παρά ευρέως διαδεδομένη.
Η λειτουργία και οι δυνατότητες κατασκοπείας
Το ιδιαίτερο χαρακτηριστικό αυτής της επίθεσης είναι ότι το κύριο εμφύτευμα Python βρίσκεται απευθείας μέσα στο αρχικό script, γεγονός που ελαχιστοποιεί το εγκληματολογικό αποτύπωμα και την ανάγκη επικοινωνίας με εξωτερικές υποδομές κατά την εγκατάσταση.
Μόλις εκτελεστεί, το κακόβουλο λογισμικό συνδέεται με την υπηρεσία tunneling «bore[.]pub» που βασίζεται στη γλώσσα Rust, επιτρέποντας στον χειριστή του να εκτελεί απομακρυσμένες εντολές και να πραγματοποιεί εκτεταμένη παρακολούθηση.
Οι δυνατότητες αυτές περιλαμβάνουν τη δημιουργία reverse shell, την καταγραφή πληκτρολογήσεων, την παρακολούθηση του προχείρου, τη λήψη στιγμιότυπων οθόνης, καθώς και την πρόσβαση στην κάμερα και το μικρόφωνο του συστήματος.
Κλοπή διαπιστευτηρίων και αποφυγή ανίχνευσης
Το DEEP#DOOR στοχεύει στην εξαγωγή πολύτιμων δεδομένων, όπως διαπιστευτήρια που είναι αποθηκευμένα στους περιηγητές Google Chrome και Mozilla Firefox, κλειδιά SSH, καθώς και κωδικούς πρόσβασης από υπηρεσίες Cloud των Amazon Web Services, Google Cloud και Microsoft Azure.
Η χρήση δημόσιων υπηρεσιών TCP tunneling για τον έλεγχο και τη διοίκηση προσφέρει το πλεονέκτημα της απόκρυψης της κακόβουλης κίνησης μέσα σε νόμιμη κυκλοφορία δεδομένων, αποφεύγοντας την ανάγκη για αποκλειστικές υποδομές.
Παράλληλα, το λογισμικό περιλαμβάνει πλήθος μηχανισμών προστασίας από ανάλυση, όπως ανίχνευση sandbox και εικονικών μηχανών, καθώς και παρεμβολές στο Microsoft Defender και το PowerShell για να παραμείνει απαρατήρητο.
Μηχανισμοί επιμονής και εξέλιξη των απειλών
Για τη διασφάλιση της μακροχρόνιας παρουσίας του, το εμφύτευμα χρησιμοποιεί πολλαπλούς μηχανισμούς επιμονής στα Windows, ενώ διαθέτει και έναν μηχανισμό ελέγχου (watchdog) που αναδημιουργεί αυτόματα τα ίχνη του εάν αφαιρεθούν, καθιστώντας την αποκατάσταση του συστήματος ιδιαίτερα δύσκολη.
Το DEEP#DOOR αναδεικνύει τη συνεχή εξέλιξη των απειλών προς πλαίσια διείσδυσης χωρίς αρχεία (fileless) που βασίζονται σε scripts και ερμηνευόμενες γλώσσες όπως η Python. Με την ενσωμάτωση του ωφέλιμου φορτίου απευθείας στο dropper, το malware μειώνει τις εξωτερικές εξαρτήσεις και περιορίζει σημαντικά τις παραδοσιακές ευκαιρίες ανίχνευσης από τα συστήματα ασφαλείας.