PyLoose – нова кибератака за криптовалута
Неотдавнашно откритие на фирмата за сигурност в облака Wiz разкрива нова безфайлова атака, наречена PyLoose, която е насочена специално към работни процеси в облака. Тази атака има за цел да достави миниращ софтуер за криптовалута, като това е първата публично документирана безфайлова атака, базирана на програмния език Python, срещу работни процеси в облака. С близо 200 идентифицирани случая този метод на атака демонстрира сложността на участващия в нея участник в заплахата.
Цялостната идея на атаката PyLoose
PyLoose използва код на Python, за да зареди XMRig Miner директно в паметта, като използва техниката memfd – добре позната безфайлова техника за Linux. Скриптът на Python, състоящ се само от девет реда код, извлича компресирания и кодиран предварително компилиран XMRig miner от paste.c-net[.]org чрез HTTPS GET заявка. След това работният процес се вгражда в паметта на времето за изпълнение на Python, без да е необходимо файлът да се записва на диска.
Верига на заразяване и първоначален достъп
Разследването на Wiz разкрива, че първоначалният достъп е получен чрез използване на публично достъпна услуга Jupyter Notebook. Тази уязвимост дава възможност за изпълнение на системни команди с помощта на модули на Python, което осигурява входна точка за кибер-атаката. Участникът в заплахата използва тази входна точка, за да инициира атаката PyLoose и да започне миниране на криптовалута.
Сложност и техники за предпазване
Атаката PyLoose демонстрира високо ниво на сложност, тъй като участникът в заплахата предприема сериозни мерки, за да остане непроследим и да прикрие следите си. Като използва отворена услуга за споделяне на данни за хостване на полезния работен процес на Python и като адаптира техниките за изпълнение без файлове към Python, киберпрестъпникът се предпазва от проследяване. Освен това миниращият софтуер XMRig е компилиран, за да вгради конфигурацията си, което гарантира, че кибер-атаката остава дискретна, без да записва данни на диска или да оставя разкриващи следи от командния център.
Откриването на PyLoose подчертава силно променящите се заплахи и все по-широкото разпространение на атаки, насочени към работни процеси в облака. За организациите е от съществено значение да приоритизират мерките за сигурност в облака и да останат бдителни срещу възникващите заплахи. Участниците в заплахите, като наскоро идентифицирания SCARLETEEL, продължават да използват облачната структура, за да крадат защитени данни и да извършват незаконно миниране на криптовалута.
Появата на базирана на Python безфайлова атака демонстрира адаптивността и изобретателността на участниците в заплахите. Организациите трябва да засилят своята позиция за сигурност в облака, като прилагат надеждни мерки за откриване и предотвратяване, за да противодействат ефективно на такива кибер-заплахи.
Бъдете информирани, бъдете проактивни и предпазвайте работните си процеси в облака от развиващите се киберзаплахи и нарастващия брой киберпрестъпници.
Тази статия има за цел да предостави информация и да повиши информираността относно атаката PyLoose, насочена към облачни работни процеси. За подробна техническа информация, моля, направете справка с оригиналното изследване, проведено от Wiz.
Вижте още:
