- PyStoreRAT je modularni RAT koji se distribuira putem lažnih GitHub repozitorija koji se maskiraju kao OSINT alati, DeFi botovi i GPT uslužni programi.
- Lanac infekcije koristi minimalne učitavače u Piton ili JavaScript za preuzimanje udaljenih HTA-ova i njihovo pokretanje pomoću mshta.exe, implementirajući implantat s više modula.
- El malware Uspostavlja postojanost planiranih zadataka i komunicira s C2 poslužiteljima radi izvršavanja. naredbe napredan i obično koristi Rhadamanthys infostealer.
- Njegov dizajn odražava trend prema vrlo izbjegavajućim implantatima temeljenim na skriptama, sličnim drugim prijetnjama poput SetcodeRata, koji iskorištavaju povjerenje u legitimni softver i usluge.
El Zlonamjerni softver PyStoreRAT Postala je jedna od najzanimljivijih i najzabrinjavajućih prijetnji posljednjeg vremena za istraživače, programere i entuzijaste. cryptocurrencyOva obitelj zlonamjernih programa kombinira tehnike društveni inženjering, zlouporaba GitHuba i napredni moduli za udaljeni pristup koji mu omogućuju preuzimanje kontrole nad sustavom, krađu informacija i tiho postavljanje drugog zlonamjernog koda.
Daleko od toga da je "samo još jedan ŠTAKOR", PyStoreRAT se ističe svojim modularnim pristupom, višefaznim lancem infekcije i pametnom korištenjem lažnih repozitorija. objavljeni na GitHubu koji simuliraju OSINT alate, DeFi botove ili uslužne programe povezane s GPT-om i CybersecuritySve to popraćeno je kampanjama na društvenim mrežama i tehnikama za napuhavanje metrika popularnosti, tako da žrtve osjećaju da preuzimaju nešto legitimno, korisno i popularno.
Što je PyStoreRAT i zašto je toliko opasan?
PyStoreRAT je trojanac za udaljeni pristup (RAT) prvenstveno baziran na JavaScriptu. koji funkcionira kao modularni, višestupanjski implantat. Iako je početni mamac obično napisan u Pythonu ili JavaScriptu, jezgra RAT-a oslanja se na HTML aplikacije (HTA) i skripte koje se izvršavaju kroz mshta.exelegitimna upotreba Windows koristi se za obradu HTML aplikacija.
Ovaj implant nudi napadačima vrlo fleksibilan skup mogućnosti: može pokretati module u različitim formatima (EXE, DLL, PowerShell, MSI, Python, JavaScript i HTA)To olakšava prilagodbu kampanje različitim okruženjima i zaobilaženje osnovnih sigurnosnih kontrola. Nadalje, integrira izviđanje sustava, krađu informacija i dodatne mogućnosti implementacije zlonamjernog softvera.
Ključni element je taj što PyStoreRAT često prati infostealer Rhadamanthys.Rhadamanthys je zlonamjerni softver specijaliziran za krađu vjerodajnica, podataka preglednika i, posebno, informacija povezanih s kriptovalutama. RAT djeluje kao svestrana ulazna točka, dok Rhadamanthys obavlja masovno krađu podataka.
Drugi aspekt koji ga čini posebno zabrinjavajućim je njegov fokus na visokovrijedni profili kao što su sigurnosni analitičari, sistemski administratori i napredni korisniciTi korisnici, prilikom preuzimanja alata s GitHuba, često misle da imaju sve pod kontrolom i da je "sve provjereno", ali minimalistički dizajn učitavača i korištenje naizgled pouzdanih repozitorija znatno otežava rano otkrivanje.
Što se tiče evolucije prijetnji, PyStoreRAT predstavlja daljnji korak prema vrlo diskretnim implantatima temeljenim na skriptama, dizajniranim za koegzistiranje s modernim EDR kontrolamaodgađajući njegovo otkrivanje koliko god je to moguće zahvaljujući tehnikama izbjegavanja i izvršenje u memoriji.
GitHub kampanja: lažni repozitoriji i zlouporaba povjerenja
Istraživači su dokumentirali kontinuirana kampanja distribucije PyStoreRAT-a putem zlonamjernih repozitorija smještenih na GitHubuOvi repozitoriji su predstavljeni kao korisni projekti za tehničku zajednicu, što uvelike povećava šanse za njihovo preuzimanje i pokretanje.
Uobičajene teme u ovim repozitorijima uključuju OSINT alate To uključuje alate za prikupljanje javnih informacija, navodne DeFi botove za automatizaciju strategija trgovanja, neslužbene omotače ili klijente povezane s GPT-om i sigurnosne uslužne programe koji obećavaju revizije ili poboljšanja obrane. U mnogim slučajevima, dokumentacija i README datoteke djeluju sasvim razumno, čak i profesionalno.
Kako bi maksimizirali svoj doseg, napadači promoviraju ove projekte na društvene mreže poput YouTubea i X-a (ranije Twittera)gdje se objavljuju videozapisi, teme i poruke koje se izravno povezuju na repozitorij. Nadalje, manipuliraju metrikama poput zvjezdica i forkova, koristeći lažne ili automatizirane račune, u stilu Stargazers Ghost Networktako da se projekt pojavi na popisu "trending repozitorija" GitHuba.
Jedan posebno opasan detalj je taj što Glumci stvaraju nove račune ili ponovno aktiviraju stare račune koji su mjesecima bili neaktivni.kako bi se činilo kao da se razvoj "vratio u život". Nakon što alat dobije na popularnosti i postane poznat, dodaju zlonamjerni kod u navodne "obveze održavanja" objavljene tjednima ili mjesecima kasnije, kada se uspostavi određena razina povjerenja u projekt.
U mnogim slučajevima, projekti čak ni ne funkcioniraju kako je obećano: Neki alati prikazuju samo statičke izbornike ili sučelja bez stvarne funkcionalnosti.Dok drugi izvode minimalne, površne radnje. Cilj nije ponuditi vrijednost, već izgledati legitimno. el tiempo dovoljno da korisnik pokrene zlonamjerni program za učitavanje "kao prirodni dio" korištenja alata.
Lanac infekcije: od minimalnog utovarivača do potpune kontrole
Srž kampanje leži u vrlo dobro osmišljen višefazni lanac infekcijePočinje s malim isječkom Python ili JavaScript koda unutar GitHub repozitorija. Taj prvi dio je ono što povezuje sve ostalo.
Normalno, datoteka koju korisnik pokreće sadrži samo nekoliko redaka kodaIzgledaju bezopasno ili neupadljivo. Njihova prava funkcija je povezivanje s udaljenim poslužiteljem kojim upravlja napadač, preuzimanje HTA datoteke i njezino pokretanje. mshta.exeOva tehnika koristi legitimni Windows alat, smanjujući sumnju nekih manje naprednih sigurnosnih sustava.
Učitavač također uključuje vrlo osnovnu, ali učinkovitu logiku prepoznavanja: sastavlja popis instaliranih antivirusnih proizvoda Skenira sustav i traži nizove znakova povezane s "Falcon" (povezano s CrowdStrike Falconom) ili "Reason" (povezano s rješenjima poput Cybereasona ili ReasonLabsa). Ako otkrije bilo koje od tih imena, prilagođava način izvršavanja mshta.exe kako bi pokušao smanjiti njihovu vidljivost.
Točnije, kada identificira te proizvode, zlonamjerni softver pokrenite mshta.exe putem cmd. ExeOvo dodaje međusloj koji može mijenjati određene obrasce ponašanja koje prate sigurnosna rješenja. Ako ne pronađe ništa sumnjivo, jednostavno izravno izvršava mshta.exe, smanjujući korake i ubrzavajući proces zaraze.
Nakon što se udaljeni HTA učita, počinje sljedeća faza: isporuka i implementacija PyStoreRAT-a Pravilno govoreći, ovdje počinje igra modula, perzistencije i komunikacije s komandnim i kontrolnim (C2) poslužiteljem, gdje napadači preuzimaju kontrolu nad zaraženim sustavom.
Interne mogućnosti PyStoreRAT-a i podržani moduli
Od trenutka kada HTA preuzme i izvrši implantat, PyStoreRAT djeluje kao fleksibilna platforma za izvršavanje korisnog teretaNjegova modularna arhitektura omogućuje napadačima učitavanje različitih vrsta komponenti ovisno o potrebama svake kampanje ili svake određene žrtve.
Među najistaknutijim sposobnostima je mogućnost Pokretanje EXE binarnih datoteka, učitavanje DLL-ova, pokretanje PowerShell skripti, instaliranje MSI paketa pa čak i implementirati druge skripte u Pythonu, JavaScriptu ili nove HTA-ove izravno iz samog RAT-a. Ova svestranost omogućuje zlonamjernom softveru da se brzo prilagodi različitim scenarijima i izbjegne obranu na temelju statičkih potpisa.
Osim toga, RAT provodi faza profiliranja sustava Ovo identificira informacije poput operativnog sustava, korisničkih dopuštenja, konfiguracije okruženja i drugih podataka koji mogu pomoći u određivanju koja je vrsta sadržaja najkorisnija u svakom slučaju. Također provjerava administratorske privilegije, što otvara vrata nametljivijim radnjama.
Jedna posebno osjetljiva funkcija je njegova sposobnost da skeniranje sustava za datoteke povezane s kriptovalutnim novčanicimaPyStoreRAT pretražuje putanje i datoteke povezane s aplikacijama kao što su Ledger Live, Trezor, Exodus, Atomic Wallet, Guarda Wallet i BitBox02, bez iskorištavanja ranjivosti u tim programima, već koristeći lokalno pohranjene informacije za pripremu za naknadne krađe.
Istovremeno, RAT olakšava Izvršavanje Rhadamanthys infostealera kao sekundarnog korisnog teretaNakon preuzimanja, prikuplja lozinke, kolačiće, podatke preglednika i druge vrijedne informacije koje se mogu poslati na C2 poslužitelj ili preprodati na crnom tržištu.
Upornost, sljedeći potezi i C2 naredbe
Kako biste osigurali da infekcija ne nestane nakon jednostavnog ponovnog pokretanja, PyStoreRAT uspostavlja mehanizam perzistencije temeljen na zakazanim zadacimaTočnije, stvara zadatak u Windows Task Scheduleru s nazivom koji oponaša legitimni proces ažuriranja softvera.
U mnogim slučajevima, taj zadatak se čini prikriven kao navodno automatsko ažuriranje aplikacija NVIDIAiskorištavajući činjenicu da mnogi korisnici imaju vozači ili instalirane grafičke alate, a ove vrste unosa lako prolaze nezapaženo u sustavu. Na taj se način zlonamjerni softver može periodično ponovno pokrenuti ili nakon ponovnog pokretanja računala.
Zanimljivo je da kada operater vjeruje da je izvukao ono što mu je trebalo ili želi smanjiti tragove, Sam zlonamjerni softver može izbrisati zakazani zadatak. izbrisati tragove i otežati naknadnu forenzičku analizu. Ovo brisanje može se dogoditi i kao dio specifičnih naredbi poslanih s komandnog i kontrolnog poslužitelja.
U fazi daljinskog upravljanja, PyStoreRAT komunicira s vanjskim C2 serverom od kojeg prima upute. Iako nisu sve korištene domene i IP adrese javno objavljene, poznato je da RAT podržava raznolik popis naredbi, namijenjenih i izvršavanju novih korisnih podataka i širenju i čišćenju tragova.
Među najvažnijim naredbama koje možete izvršiti su funkcije za Preuzmite i pokrenite EXE binarne datoteke (uključujući Rhadamanthys)Preuzmite i raspakirajte ZIP datoteke, nabavite zlonamjerne DLL-ove i pokrenite ih putem rundll32.exei primati sirovi JavaScript kod koji se izvršava izravno u memoriji pomoću eval()tehnika koja otežava detekciju na temelju datoteka.
RAT također može Instalirajte MSI pakete, pokrenite sekundarne procese mshta.exe za učitavanje više udaljenih HTA-ovai izravno izvršava PowerShell naredbe u memoriji, izbjegavajući ostavljanje vidljivih skripti na disku. Nadalje, integrira funkcije za širenje zaraze putem mehanizam širenja pomoću izmjenjivih diskova, zamjenjujući legitimne dokumente zlonamjernim LNK prečacima koji upućuju na zlonamjerni softver.
Pogođeni proizvodi i fokus na kriptovalute
Važno je razjasniti da PyStoreRAT ne iskorištava specifičnu ranjivost u popularnom softveruUmjesto toga, cijeli svoj uspjeh temelji na zlouporabi povjerenja u projekte otvorenog koda i na lošim navikama preuzimanja i pokretanja koda iz loše provjerenih repozitorija.
Glavne mete su korisnici koji preuzimaju navodne OSINT alati, DeFi botovi za trgovanje, uslužni programi za interakciju s GPT-om ili sigurnosne skripte smješten na GitHubu i objavljen ili ažuriran u razdoblju otprilike od lipnja do prosinca 2025. Svaki repozitorij ove vrste, bez provjerljivog autorstva, zaslužuje detaljnu analizu.
Paralelno s tim, zlonamjerni softver ima poseban interes za kriptovalutni novčanici instalirani na sustavuIako ne iskorištava ranjivosti u tim programima, pregledava direktorije, podatkovne datoteke i konfiguracije koje mogu otkriti korisne informacije o stanjima, adresama ili lozinkama.
Među aplikacijama koje obično traži su Ledger Live, Trezor novčanici, Exodus, Atomic Wallet, Guarda Wallet i BitBox02 uređajSama činjenica da zlonamjerni softver prati te tragove već ukazuje na jasan interes za monetizaciju kroz krađu kripto imovine ili prodaju podataka novčanika.
Treba naglasiti da Vektor infekcije ostaje izvršavanje koda preuzetog s GitHubaOvo nije inherentna sigurnosna mana samih novčanika. Unatoč tome, korisnici kriptovaluta koji kombiniraju ove novčanike s alatima bezbrižno preuzetim iz nepoznatih repozitorija postaju, de facto, vrlo atraktivna meta za operatere PyStoreRAT-a.
Pokazatelji kompromitiranja i sumnjivog ponašanja
Za otkrivanje mogućih infekcija povezanih s ovom obitelji, korisno je pogledati znakovi atipičnog ponašanja i u kodu preuzetom s GitHuba i u samom Windows sustavu (Simptomi različitih vrsta zlonamjernog softveraIako ne svaki pokazatelj jamči da se radi o PyStoreRAT-u, njihova kombinacija trebala bi izazvati sumnju.
Što se tiče razvoja, treba biti oprezan Vrlo kratke Python ili JavaScript skripte čija je jedina svrha preuzimanje i izvršavanje HTA datoteka putem mshta.exeOvaj obrazac je već upitan i treba ga temeljito pregledati, posebno ako dolazi iz novokreiranog repozitorija ili onog sa sumnjivom poviješću.
Na razini operativnog sustava, tipičan pokazatelj je prisutnost mshta.exe procesa pokrenutih skriptama ili interpreterima Izvan uobičajenih konteksta, pozivanje mshta.exe putem Pythona, Node.jsa ili putem naredbene konzole povezane s "OSINT alatom" trebalo bi biti znak za uzbunu u korporativnom ili čak kućnom okruženju.
Također je preporučljivo pratiti prisutnost zakazani zadaci s nazivima koji oponašaju ažuriranja tvrtke NVIDIA ili drugih poznatih proizvođačaAko su ovi zadaci kreirani otprilike u vrijeme instaliranja malo poznatog GitHub alata, rizik da su povezani s PyStoreRAT-om ili drugim sličnim zlonamjernim softverom je visok.
Konačno, treba obratiti pozornost na neobične LNK prečace na diskovima USB ili vanjskih diskovaposebno kada zamjenjuju Office dokumente ili PDF-ove koji su se prije normalno otvarali. Ovo ponašanje je u skladu s taktikom širenja prijenosnih medija implementiranom u ovom RAT-u.
Potencijalne žrtve, uočene taktike i atribucija
Čini se da je kampanja iza PyStoreRAT-a u tijeku. prilično duboko razumijevanje načina na koji funkcionira zajednica za kibernetičku sigurnost i razvojNe traže samo naivne korisnike, već profile koji redovito rade s alatima za analizu, automatizaciju i OSINT.
Među potencijalnim žrtvama su istraživači sigurnosti, IT administratori, analitičari prijetnji, pa čak i napredni korisnici kriptovaluta Često isprobavaju nove GitHub alate kako bi optimizirali svoje tijekove rada. Upravo zato što se oslanjaju na "trendovske" repozitorije, na kraju se izlažu pažljivo prikrivenim zlonamjernim sadržajima.
Napadači se oslanjaju na razne taktike vidljivosti, kao što su korištenje popisa popularnih repozitorija i kampanja na društvenim mrežama usmjeriti promet prema zaraženim projektima. Korištenje novokreiranih ili neaktivnih GitHub računa, u kombinaciji s naknadnim commitima koji uvode zlonamjerni softver kao „manje ažuriranje“, pokazuje jasan pristup napadu na lanac opskrbe softverom.
Što se tiče atribucije, istraživanja ukazuju na prisutnost artefakata i obrazaca kodiranja u ruskom jezikuTo sugerira da je odgovorna skupina nastala u istočnoj Europi. Međutim, trenutno ne postoji izravna veza s APT-om ili kriminalnom skupinom jasno identificiranom u otvorenim izvorima.
Modularna priroda, interes za krađu kriptovaluta i korištenje modernih tehnika izbjegavanja ukazuju na glumci s iskustvom i resursima, više od pukih amateraMeđutim, kampanja se još uvijek analizira i s vremenom bi se mogli pojaviti novi dokazi.
Odnos s drugim prijetnjama: slučaj SetcodeRata
Iako je PyStoreRAT zvijezda ove analize, razne studije su istaknule pojava drugih RAT obitelji s jednako usavršenim strategijamaTo potvrđuje zabrinjavajući trend prema visoko prilagođenim daljinskim implantatima za određena okruženja ili regije.
Paralelan primjer je SetcodeRat, koji je otkrio kineski dobavljač sigurnosnih rješenja. Širi se putem zlonamjernih oglašivačkih kampanja unutar zemlje. U ovom slučaju, napadači ciljaju korisnike koji govore kineski i oslanjaju se na lažne instalacijske programe poznatog softvera, poput web preglednika, kako bi izvršili infekciju.
Zlonamjerni instalacijski program tvrtke SetcodeRat izvodi prethodna provjera regije i jezika sustavaAko tim nije postavljen na pojednostavljeni kineski ili lokalne varijante kao što su Zh-CN (kontinentalna Kina), Zh-HK (Hong Kong), Zh-MO (Makao) ili Zh-TW (Tajvan), program se jednostavno isključuje, smanjujući nepotrebnu izloženost izvan ciljane publike.
Još jedan zanimljiv zahtjev je da zlonamjerni softver Provjerite povezivost pomoću Bilibili URL-a (popularna kineska video usluga). Ako se ne može povezati s putanjom povezanom s api.bilibilicom/x/report/click/now, izvršenje se prekida, vjerojatno kao dodatni mehanizam za ograničavanje analize u laboratorijskim okruženjima.
U sljedećoj fazi, instalacijski program pokreće binarnu datoteku pod nazivom pnm2png.exe za bočno učitavanje zlib1.dll datotekeOvaj DLL, kojim manipuliraju napadači, dešifrira sadržaj datoteke pod nazivom qt.conf, a zatim učitava novi DLL s ugrađenim RAT sadržajem. Na taj način, zlonamjerni softver se ubacuje u lanac učitavanja biblioteke naizgled legitimne aplikacije.
Nakon što bude potpuno operativan, SetcodeRat nudi uobičajene značajke modernog RAT-a: Snimanje zaslona, bilježenje keyloggera, čitanje i mijenjanje mapa, izvršavanje procesa, pokretanje cmd.exe, upravljanje mrežnom vezom i automatska ažuriranjaZa komunikaciju s vašom infrastrukturom možete koristiti oboje konvencionalni C2 serveri kao kanali putem Telegrama, što mu daje fleksibilnost i otpornost.
Preporučene strategije ublažavanja
Najbolja obrana od PyStoreRAT-a i sličnih prijetnji je Promijenite navike prilikom preuzimanja i pokretanja koda iz javnih repozitorijaTo je posebno važno u korporativnim okruženjima, gdje i jedan propust može dovesti do ozbiljnog kršenja sigurnosti.
Prije svega, preporučuje se provjeriti legitimnost GitHub repozitorijaProvjerite pripadaju li poznatim organizacijama, usporedite URL sa službenom web stranicom projekta i pregledajte povijest commita za sve sumnjive dodatke u zadnji čas. Također pomaže razmotriti dosljednost između popularnosti projekta i stvarne kvalitete koda.
Prije pokretanja bilo kojeg preuzetog alata, preporučljivo je izvršiti ručni pregled koda, posebno skripti koje djeluju kao "pokretači"Bilo kakva referenca na mshta.exe, descargas Udaljene HTA-ove ili neobične PowerShell pozive treba pažljivo analizirati, idealno u sandbox okruženju ili pomoću Analiza izvanmrežnog programa Microsoft Defender prije nego što se pridružio produkcijskom timu.
Na razini mreže, korisno je praćenje odlaznih veza prema novim domenama ili neobičnim IP adresama, kao i zapisivanje i upozoravanje na ponašanja tipa C2. Iako nisu objavljeni svi specifični pokazatelji, otkrivanje na temelju ponašanja prometa može pružiti vrlo vrijedne tragove.
Na krajnjoj točki, organizacije bi trebale Konfigurirajte upozorenja za stvaranje sumnjivih zakazanih zadatakaposebno oni predstavljeni kao ažuriranja za poznate proizvođače, ali čiji binarni fajl pokazuje na neobične putanje. Također je ključno pratiti korištenje mshta.exe i izvršavanje PowerShella ili rundll32.exe s neobičnim parametrima.
Konačno, što se tiče vanjskih uređaja, preporučuje se Ograničite ili blokirajte izvršavanje LNK datoteka s prijenosnih diskova U okruženjima visokog rizika, ili barem podvrgnite ove prečace poboljšanim pravilima skeniranja. To smanjuje vjerojatnost širenja prijetnje na nova računala putem USB pogona ili drugih sličnih sredstava.
PyStoreRAT i SetcodeRat to vrlo dobro ilustriraju. u kojoj mjeri napadači usavršavaju modularne RAT-ove, zloupotrebljavaju legitimne platforme poput GitHuba i koriste tehnike izbjegavanja usmjereno na određene regije ili profile. Samo kombiniranjem provjere koda, dobrih praksi preuzimanja, praćenja mreže i kontrola krajnjih točaka može se uistinu smanjiti utjecaj ovih vrsta kampanja, koje sve više iskorištavaju naše povjerenje u "popularni" softver i otvorene ekosustave.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje pisanjem, a to je ono što ću učiniti na ovom blogu, pokazati vam sve najzanimljivije stvari o gadgetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se snađete u digitalnom svijetu na jednostavan i zabavan način.