SOC Prime Bias: Критичний

15 Dec 2025 14:42 UTC

PyStoreRAT: Шкідливе ПЗ з використанням штучного інтелекту, спрямоване на фахівців з IT та OSINT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
PyStoreRAT: Шкідливе ПЗ з використанням штучного інтелекту, спрямоване на фахівців з IT та OSINT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Morphisec виявила скоординовану операцію з поширення шкідливого ПЗ, яка використовує неактивні облікові записи GitHub для розміщення репозиторіїв, згенерованих штучним інтелектом, які в кінцевому підсумку доставляють JavaScript/HTA бекдор з назвою PyStoreRAT. Завантажувач визначає профіль хоста, розгортає кілька корисних навантажень, включаючи викрадач Rhadamanthys, і динамічно коригує свою поведінку при виявленні специфічних антивірусних рішень. Він може поширюватися через знімні носії і покладається на ротаційну інфраструктуру C2 для оновлення своїх модулів. Кампанія націлена на IT-адміністраторів, аналітиків безпеки та професіоналів OSINT по всьому світу.

Розслідування

Дослідники вивчили зловмисні проекти GitHub, ізолювали компоненти бекдору та задокументували повний ланцюжок виконання, включаючи профілювання системи, багатоступеневу доставку корисного навантаження, уникнення виявлення антивірусами, поширення через знімні накопичувачі та завантаження модулів за запитом. Звіт додатково описує кругову архітектуру вузлів C2, яка підвищує стійкість, а також використання рядків російською мовою для перевірки місцезнаходження цілі. Аналіз пов’язує завантажувач з викрадачем Rhadamanthys та підкреслює його здатність змінювати шляхи запуску.

Пом’якшення

Morphisec рекомендує використовувати Автоматизований Захист Рухомої Цілі для дестабілізації середовища виконання завантажувача, блокування ненадійних маршрутів виконання і зупинки розгортання корисного навантаження. Оскільки традиційні засоби управління на базі підписів є неефективними, захисникам слід покладатися на захист, що заснований на поведінковому аналізі та віртуалізації. Рекомендується обмежити виконання скриптів із ненадійних джерел і уважно стежити за активністю на знімних накопичувачах.

Відповідь

При виявленні активності PyStoreRAT негайно ізолюйте уражену кінцеву точку, зупиніть процес бекдору та видаліть будь-які стійкі модулі. Проведіть судово-медичний аналіз для збору IOCs, включаючи домени C2, контрольні суми файлів та заплановані завдання. Виправте вразливі програми, застосуйте суворі політики виконання з найменшим набором прав та постійно стежте за підозрілою активністю в репозиторіях GitHub.

Потік Атаки

Виявлення

Виконання Симуляції

Передумова: Телеметрія та попередня перевірка з послідовністю базових контрольних параметрів повинні бути пройдені.

  • Сценарій Атаки та Команди:

    1. Повторно активувати неактивний обліковий запис – супротивник використовує інтерфейс користувача або API GitHub для зміни статусу облікового запису з “неактивного” на “активний”.
    2. Опублікувати згенерований штучним інтелектом зловмисний репозиторій – відразу після повторної активації створюється новий репозиторій з назвою ai‑osint‑toolkit із README, в якому рекламуються “проекти, згенеровані штучним інтелектом”.
    3. Додати коміт “обслуговування” який вбудовує бекдор PyStoreRAT; повідомлення коміту навмисно включає слово “обслуговування”, щоб задовольнити правило виявлення.
    4. Записати зловмисний код – запис генерує подію аудиту "запису", але правило, яке ми тестуємо, відслідковує лише вхід у журнал “повторна активація облікового запису”, тому основним тригером є запис у журналі з описом. вхід у журнал повторної активації облікового запису вхід до журналу повторної активації облікового запису з позначеним описом.
  • Сценарій регресійного тесту: (Bash з використанням GitHub CLI gh – передбачається, що атакуючий актор має особистий токен доступу з admin:org обсягом)

     # simulate_attack.sh
      # Передумови: gh CLI встановлено та аутентифіковано як нападник
    
      # 1. Повторно активувати неактивний обліковий запис (змодельовано шляхом оновлення поля користувача)
      gh api -X PATCH /admin/users/attacker_user 
          -f state=active 
          -f note="reactivation: AI-generated projects; maintenance commits scheduled"
    
      # 2. Створити зловмисний репозиторій
      gh repo create attacker_user/ai-osint-toolkit --public --description "AI‑generated OSINT tools"
    
      # 3. Додати зловмисний файл (PyStoreRAT) і виконати коміт
      cd ai-osint-toolkit
      echo "# PyStoreRAT backdoor" > pystorerat.py
      git add pystorerat.py
      git commit -m "Initial commit - maintenance commits: embed backdoor"
      git push origin main
    
      # 4. За бажанням: створити другий коміт обслуговування, щоб імітувати активність у реальному світі
      echo "# Оновити README" >> README.md
      git add README.md
      git commit -m "maintenance commit: update documentation"
      git push origin main
  • Команди очищення:

     # cleanup_attack.sh
      # Видалити зловмисний репозиторій
      gh repo delete attacker_user/ai-osint-toolkit -y
    
      # За бажання, встановіть обліковий запис нападника знову як неактивний (якщо API дозволяє)
      gh api -X PATCH /admin/users/attacker_user -f state=dormant