Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

PyLoose: новый метод бесфайловой атаки на облачную инфраструктуру

13/07/23

7-biggest-cloud-breaches-AdobeStock_71382223

Новая бесфайловая атака под названием PyLoose нацелена на различные облачные сервисы с целью установки криптовалютного майнера. «Атака состоит из кода Python, который загружает криптомайнер прямо в оперативную память среды с помощью известной техники бесфайлового взлома Linux. Это первая бесфайловая атака на основе Python в дикой природе, нацеленная на облачные сервисы», — сообщили специалисты компании Wiz в своём отчёте, передает Securitylab.

Компания по облачной безопасности обнаружила около 200 случаев использования этого метода атаки для добычи криптовалюты. Пока о злоумышленниках ничего неизвестно, кроме того, что они располагают продвинутыми навыками и инструментами.

По данным Wiz, первоначальный доступ хакерам удалось достичь через эксплуатацию открытого сервиса Jupyter Notebook, который позволяет выполнять системные команды с помощью модулей Python.

PyLoose, впервые обнаруженный 22 июня 2023 года, представляет собой скрипт на Python всего из девяти строк кода, который содержит сжатый и закодированный предварительно скомпилированный майнер XMRig.

Полезная нагрузка скачивается с общедоступного хостинга Pastebin с помощью HTTPS-запроса GET и загружается напрямую в память среды выполнения Python через дескриптор memfd без необходимости записи файлов на диск, что существенно затрудняет обнаружение данной угрозы.

«Злоумышленники приложили большие усилия, чтобы остаться незамеченными, используя открытый сервис обмена данными для размещения полезной нагрузки на Python, адаптируя технику бесфайлового выполнения для Python и компилируя майнер XMRig с встроенной конфигурацией, чтобы избежать обращения к диску или использования командной строки», — говорят исследователи.

Атаки на облачные сервисы в последнее время набирают популярность среди злоумышленников. Буквально вчера мы писали о новой вредоносной операции, которую недавно провела группа SCARLETEEL с целью использовать инфраструктуру Amazon Web Services (AWS) для кражи конфиденциальных данных и незаконного майнинга криптовалюты.

Темы:Облачные технологииLinuxУгрозыWiz
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...