adlı yeni bir dosyasız saldırı PyLoose Wiz’in yeni bulgularına göre, bir kripto para madencisi sunmak amacıyla çarpıcı bulut iş yükleri gözlemlendi.
Güvenlik araştırmacıları Avigayil Mechtinger, Oren Ofer ve Itamar Gilad, “Saldırı, bir XMRig Madencisini bilinen bir Linux dosyasız teknik olan memfd kullanarak doğrudan belleğe yükleyen Python kodundan oluşuyor” dedi. “Bu, vahşi ortamda bulut iş yüklerini hedef alan, genel olarak belgelenmiş ilk Python tabanlı dosyasız saldırıdır.”
Bulut güvenlik firması, saldırı yönteminin kripto para birimi madenciliği için kullanıldığı yaklaşık 200 örnek bulduğunu söyledi. Tehdit aktörü hakkında şu anda gelişmiş yeteneklere sahip olmaları dışında başka hiçbir ayrıntı bilinmiyor.
Wiz tarafından belgelenen bulaşma zincirinde, ilk erişim, Python modülleri kullanılarak sistem komutlarının yürütülmesine izin veren, halka açık bir Jupyter Notebook hizmetinin kullanılmasıyla sağlanır.
İlk olarak 22 Haziran 2023’te tespit edilen PyLoose, sıkıştırılmış ve kodlanmış önceden derlenmiş bir XMRig madencisini gömen yalnızca dokuz satırlık kod içeren bir Python betiğidir. Yük, paste.c-net’ten alınır[.]org dosyasını diske yazmak zorunda kalmadan bir HTTPS GET isteği aracılığıyla Python çalışma zamanının belleğine girin.
Python kodu, XMRig madencisinin kodunu çözmek ve sıkıştırmasını açmak ve ardından bellekte yerleşik dosyalara erişmek için kullanılan memfd bellek dosyası tanımlayıcı aracılığıyla doğrudan belleğe yüklemek için tasarlanmıştır.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
“Saldırgan, Python yükünü barındırmak için açık bir veri paylaşım hizmetini kullanarak, dosyasız yürütme tekniğini Python’a uyarlayarak ve diske dokunmaktan veya ifşa edici kullanmaktan kaçınmak için yapılandırmasını gömmek üzere bir XMRig madencisini derleyerek izlenemez olmak için büyük çaba sarf etti. komut satırı” dedi araştırmacılar.
Gelişme, Sysdig’in SCARLETEEL olarak bilinen bir tehdit aktörü tarafından düzenlenen ve özel verileri çalmak ve yasa dışı kripto madenciliği yapmak için AWS altyapısının kötüye kullanılmasını gerektiren yeni bir saldırı kampanyasını ayrıntılı olarak açıklamasıyla geldi.