Новая бесфайловая атака под названием PyLoose нацелена на различные облачные сервисы с целью установки криптовалютного майнера. “Атака состоит из кода Python, который загружает криптомайнер прямо в оперативную память среды с помощью известной техники бесфайлового взлома Linux. Это первая бесфайловая атака на основе Python в дикой природе, нацеленная на облачные сервисы”, – сообщили специалисты компании Wiz в своём вчерашнем отчёте .
Компания по облачной безопасности обнаружила около 200 случаев использования этого метода атаки для добычи криптовалюты. Пока о злоумышленниках ничего неизвестно, кроме того, что они располагают продвинутыми навыками и инструментами.
По данным Wiz, первоначальный доступ хакерам удалось достичь через эксплуатацию открытого сервиса Jupyter Notebook, который позволяет выполнять системные команды с помощью модулей Python.
PyLoose, впервые обнаруженный 22 июня 2023 года, представляет собой скрипт на Python всего из девяти строк кода, который содержит сжатый и закодированный предварительно скомпилированный майнер XMRig.
Полезная нагрузка скачивается с общедоступного хостинга Pastebin с помощью HTTPS-запроса GET и загружается напрямую в память среды выполнения Python через дескриптор memfd без необходимости записи файлов на диск, что существенно затрудняет обнаружение данной угрозы.
“Злоумышленники приложили большие усилия, чтобы остаться незамеченными, используя открытый сервис обмена данными для размещения полезной нагрузки на Python, адаптируя технику бесфайлового выполнения для Python и компилируя майнер XMRig с встроенной конфигурацией, чтобы избежать обращения к диску или использования командной строки”, – говорят исследователи.
Атаки на облачные сервисы в последнее время набирают популярность среди злоумышленников. Буквально вчера мы писали о новой вредоносной операции, которую недавно провела группа SCARLETEEL с целью использовать инфраструктуру Amazon Web Services (AWS) для кражи конфиденциальных данных и незаконного майнинга криптовалюты.