PyLoose: новый метод бесфайловой атаки на облачную инфраструктуру

PyLoose Python Linux XMRig memfd Wiz Jupyter Notebook HTTPS GET Pastebin SCARLETEEL AWS полезная нагрузка облачный сервис криптоджекинг киберпреступность
PyLoose: новый метод бесфайловой атаки на облачную инфраструктуру
PyLoose Python Linux XMRig memfd Wiz Jupyter Notebook HTTPS GET Pastebin SCARLETEEL AWS полезная нагрузка облачный сервис криптоджекинг киберпреступность

Всего девять строк кода позволяют злоумышленникам использовать высокопроизводительные серверы для майнинга криптовалюты.

image

Новая бесфайловая атака под названием PyLoose нацелена на различные облачные сервисы с целью установки криптовалютного майнера. «Атака состоит из кода Python, который загружает криптомайнер прямо в оперативную память среды с помощью известной техники бесфайлового взлома Linux. Это первая бесфайловая атака на основе Python в дикой природе, нацеленная на облачные сервисы», — сообщили специалисты компании Wiz в своём вчерашнем отчёте .

Компания по облачной безопасности обнаружила около 200 случаев использования этого метода атаки для добычи криптовалюты. Пока о злоумышленниках ничего неизвестно, кроме того, что они располагают продвинутыми навыками и инструментами.

По данным Wiz, первоначальный доступ хакерам удалось достичь через эксплуатацию открытого сервиса Jupyter Notebook, который позволяет выполнять системные команды с помощью модулей Python.

PyLoose, впервые обнаруженный 22 июня 2023 года, представляет собой скрипт на Python всего из девяти строк кода, который содержит сжатый и закодированный предварительно скомпилированный майнер XMRig.

Полезная нагрузка скачивается с общедоступного хостинга Pastebin с помощью HTTPS-запроса GET и загружается напрямую в память среды выполнения Python через дескриптор memfd без необходимости записи файлов на диск, что существенно затрудняет обнаружение данной угрозы.

«Злоумышленники приложили большие усилия, чтобы остаться незамеченными, используя открытый сервис обмена данными для размещения полезной нагрузки на Python, адаптируя технику бесфайлового выполнения для Python и компилируя майнер XMRig с встроенной конфигурацией, чтобы избежать обращения к диску или использования командной строки», — говорят исследователи.

Атаки на облачные сервисы в последнее время набирают популярность среди злоумышленников. Буквально вчера мы писали о новой вредоносной операции, которую недавно провела группа SCARLETEEL с целью использовать инфраструктуру Amazon Web Services (AWS) для кражи конфиденциальных данных и незаконного майнинга криптовалюты.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Новости по теме

Полиция задержала группу хакеров, обвиняемых в краже данных у ведущей IT-компании

Gentoo возвращается к истокам: дистрибутив Linux отказывается от сгенерированного кода

Telegram устранил 0day, используемый для удаленного запуска кода

Fedora Linux 40: что нового?

Microsoft не смогла изъять свою новую модель WizardLM 2 из публичного доступа

Python-разработчики, внимание: хакеры охотятся на ваш Discord

Темная сторона EDR: как система защиты становится оружием хакера

Без пива и телевизора: в Скандинавии наступил сухой закон после кибератаки

МВД России: киберпреступность среди подростков взлетела в 74 раза