Novi napad bez fajlova nazvan PyLoose primijećen je u velikom radnom opterećenju u Cloud-u s ciljem isporuke rudara kriptovaluta, otkrivaju nova otkrića iz Wiz-a.
“Napad se sastoji od Python koda koji učitava XMRig Miner direktno u memoriju koristeći memfd, poznatu Linux tehniku bez datoteka” rekli su istraživači sigurnosti Avigayil Mechtinger, Oren Ofer i Itamar Gilad. “Ovo je prvi javno dokumentovani napad bez datoteka zasnovan na Python-u koji cilja radna opterećenja u Cloud-u.”
Firma za bezbjednost u Cloud-u rekla je da je pronašla skoro 200 slučajeva u kojima je metoda napada korištena za rudarenje kriptovaluta. Trenutno nisu poznati nikakvi drugi detalji o hakeru osim činjenice da posjeduju sofistikovane sposobnosti.
U lancu infekcije koji je dokumentovao Wiz, početni pristup se postiže korištenjem javno dostupnog Jupyter Notebook servisa koji je omogućio izvršavanje sistemskih naredbi pomoću Python modula.
PyLoose, prvi put otkriven 22. juna 2023. godine, je Python skripta sa samo devet linija koda koji ugrađuje kompromitovani i kodirani prethodno kompajlirani XMRig rudar. Payload se preuzima sa paste.c-net[.]org u memoriju Python runtime-a pomoću HTTPS GET zahtjeva bez potrebe za pisanjem datoteke na disk.
Python kod je dizajniran za dekodiranje i dekompresiju XMRig rudara, a zatim ga učitava direktno u memoriju putem deskriptora memorijske datoteke memfd, koji se koristi za pristup datotekama koje su rezidentne u memoriji.
„Napadač se potrudio da mu se ne može ući u trag koristeći otvorenu uslugu dijeljenja podataka za smještaj Python korisnog opterećenja, prilagođavajući tehniku izvršavanja bez datoteka na Python i kompajlirajući XMRig rudar da ugradi svoju konfiguraciju kako bi izbjegao dodirivanje diska ili korištenje otkrivanja komandna linija”, rekli su istraživači.
Razvoj dolazi kada je Sysdig detaljno opisao novu kampanju napada koju je pokrenuo haker poznat kao SCARLETEEL, a koja uključuje zloupotrebu AWS infrastrukture za krađu vlasničkih podataka i provođenje nezakonitog rudarenja kriptovaluta.
Izvor: The Hacker News
