Un nouveau package imitait la bibliothèque populaire ‘requests’ sur l’Index des packages Python (PyPI) pour cibler les appareils macOS avec le framework d’adversaires Sliver C2, utilisé pour obtenir un accès initial aux réseaux d’entreprise.
Découverte par Phylum, la campagne implique plusieurs étapes et couches d’obscurcissement, y compris l’utilisation de la stéganographie dans un fichier image PNG pour installer secrètement la charge utile Sliver sur la cible.
Au moment d’écrire ces lignes, le package malveillant PyPI a été supprimé, mais sa découverte est un autre signe de l’adoption accrue par Sliver de l’accès à distance aux réseaux d’entreprise.
Sliver est une suite de tests de framework contradictoire open source multiplateforme (Windows, macOS, Linux) conçue pour les opérations « d’équipe rouge », simulant des actions adverses lors du test des défenses du réseau.
Ses principales caractéristiques comprennent des capacités personnalisées de génération d’implants, de commande et de contrôle (C2), des outils/scripts de post-exploitation et de riches options d’émulation d’attaque.
Pour cette raison, les pirates ont commencé à utiliser Sliver en 2022 principalement comme alternative au framework commercial de test de stylet Cobalt Strike, qui, après de nombreuses années d’abus, est devenu plus facile à détecter et à bloquer.
Plus tard cette année-là, Sliver a été vu cibler des appareils macOS par des chercheurs de SentinelOne, qui ont découvert l’implant déployé dans ce qui semblait être une fausse application VPN.
Le taux d’adoption par les cybercriminels a continué d’augmenter régulièrement en 2023 lorsque Sliver a été repéré dans des attaques BYOVD et des opérations de ransomware.
Un avis de cybersécurité de la CISA et du FBI de février 2024 a une fois de plus mis en évidence le statut croissant de Sliver comme l’un des implants courants utilisés par les pirates informatiques qui violent les réseaux après avoir exploité les passerelles sécurisées Ivanti Connect et Policy Secure.
Cibler macOS avec Sliver
Dans la dernière attaque vue par Phylum, l’attaque commence par un package Python malveillant pour macOS nommé ‘requests-darwin-lite’, qui est présenté comme un fork bénin de la populaire bibliothèque’ requests’.
Le paquet, qui est hébergé sur PyPI, contient le binaire de Sliver dans un fichier image PNG de 17 Mo avec le logo des requêtes.
Lors de l’installation sur un système macOS, une classe PyInstall s’exécute pour décoder une chaîne codée en base64 afin d’exécuter une commande (ioreg) qui récupère l’UUID (Universal Unique Identifier) du système.
L’UUID est utilisé pour valider que le package est installé sur la cible réelle, en le comparant à un UUID prédéfini.
Lorsqu’il y a une correspondance, le binaire Go à l’intérieur du fichier PNG est lu et extrait d’une partie spécifique au décalage du fichier.
Le binaire Sliver est écrit dans un fichier local avec des autorisations de fichier modifiées pour le rendre exécutable et est finalement lancé en arrière-plan.
Suite au rapport de Phylum sur requests-darwin-lite à l’équipe PyPI, le package a été supprimé.
Les versions malveillantes étaient 2.27.1 et 2.27.2, tandis que les versions ultérieures 2.28.0 et 2.28.1 manquaient les modifications malveillantes et le crochet d’installation.
Phylum émet l’hypothèse qu’il s’agissait d’une attaque hautement ciblée, en particulier lors de la vérification de l’UUID, de sorte que les auteurs de la menace ont probablement renvoyé le paquet dans un état bénin pour éviter d’attirer l’attention indésirable.
Le mois dernier, des chercheurs ont signalé une campagne malveillante appelée SteganoAmor qui dissimule du code malveillant à l’intérieur d’images à l’aide de la stéganographie pour fournir divers outils malveillants sur des systèmes ciblés.
Cette campagne a été généralisée, avec plus de 320 attaques ciblant divers secteurs et pays.