New Python Backdoor Uses Tunneling Service to Steal Browser and Cloud Credentials
Cybersecurity-Forscher haben ein neues Python-basiertes Backdoor-Framewerk namens DEEP#DOOR entdeckt, das dazu verwendet wird, persistenten Zugriff auf kompromittierte Systeme herzustellen und sensibles Informationen wie Browser- und Cloud-Anmeldeinformationen zu stehlen. Das Framework beginnt mit der Ausführung eines Batch-Skripts ('install_obf.bat'), das Windows-Sicherheitskontrollen deaktiviert und dynamisch ein Python-Skript extrahiert, um den Zugriff auf die betroffenen Systeme herzustellen. Benutzer sollten ihre Systeme auf dem neuesten Sicherheitsstand halten und verdächtige Aktivitäten sorgfältig überwachen.
Forscher entdeckten ein Python-basiertes Backdoor-Framework namens DEEP#DOOR. Es soll persistenten Zugriff auf kompromittierte Systeme herstellen und Browser- sowie Cloud-Anmeldeinformationen stehlen. Der Ablauf beginnt mit dem Batch-Skript install_obf.bat, das Windows-Sicherheitskontrollen deaktiviert und dynamisch ein Python-Skript extrahiert.
Kompromittierte Systeme, insbesondere Windows-Systeme, auf denen install_obf.bat ausgeführt wird.
Persistenter Zugriff und Diebstahl von Browser- und Cloud-Anmeldeinformationen können Folgezugriffe auf interne und Cloud-Umgebungen ermöglichen.
Ein kompromittiertes System bleibt dauerhaft zugänglich, während Browser- und Cloud-Anmeldedaten entwendet werden.
Systeme aktuell halten, auf install_obf.bat und verdächtige Python-Ausführung prüfen, Windows-Sicherheitskontrollen überwachen und kompromittierte Credentials rotieren.
- ▸Endpoint-Telemetrie auf Ausführung von install_obf.bat und nachgelagerter Python-Skriptextraktion prüfen.
- ▸Überwachen, ob Windows-Sicherheitskontrollen unerwartet deaktiviert wurden.
- ▸Browser- und Cloud-Anmeldeereignisse auf ungewöhnliche Nutzung nach möglichen Endpoint-Kompromittierungen prüfen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Execution | T1059.003 Windows Command Shell | High | Der Artikel nennt die Ausführung eines Batch-Skripts install_obf.bat. |
| Defense Evasion | T1562.001 Disable or Modify Tools | High | install_obf.bat deaktiviert laut Artikel Windows-Sicherheitskontrollen. |
| Persistence | T1505 Server Software Component | Low | Der Artikel beschreibt persistenten Zugriff, nennt aber keinen konkreten Persistenzmechanismus. |
| Credential Access | T1555 Credentials from Password Stores | Medium | Der Artikel nennt den Diebstahl von Browser- und Cloud-Anmeldeinformationen. |
- Der initiale Infektionsvektor ist nicht im Artikel angegeben.
- Konkrete IOCs außer install_obf.bat sind nicht im Artikel angegeben.
- Der konkrete Persistenzmechanismus ist nicht im Artikel angegeben.