Un nuevo ataque sin archivos denominado PyLoose se ha observado cargas de trabajo en la nube sorprendentes con el objetivo de ofrecer un minero de criptomonedas, revelan nuevos hallazgos de Wiz.
«El ataque consiste en un código de Python que carga un XMRig Miner directamente en la memoria usando memoriauna conocida técnica sin archivos de Linux», los investigadores de seguridad Avigayil Mechtinger, Oren Ofer e Itamar Gilad dicho. «Este es el primer ataque sin archivos basado en Python documentado públicamente dirigido a cargas de trabajo en la nube en la naturaleza».
La firma de seguridad en la nube dijo que encontró casi 200 casos en los que se empleó el método de ataque para la minería de criptomonedas. Actualmente no se conocen otros detalles sobre el actor de amenazas, aparte del hecho de que posee capacidades sofisticadas.
En la cadena de infección documentada por Wiz, el acceso inicial se logra mediante la explotación de un servicio Jupyter Notebook de acceso público que permitía la ejecución de comandos del sistema utilizando módulos de Python.
PyLoose, detectado por primera vez el 22 de junio de 2023, es un script de Python con solo nueve líneas de código que incorpora un minero XMRig precompilado comprimido y codificado. La carga útil se recupera de paste.c-net[.]org en la memoria del tiempo de ejecución de Python mediante una solicitud HTTPS GET sin tener que escribir el archivo en el disco.
El código de Python está diseñado para decodificar y descomprimir el minero XMRig y luego cargarlo directamente en la memoria a través del descriptor de archivo de memoria memfd, que se usa para acceder archivos residentes en memoria.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
«El atacante hizo todo lo posible para no ser rastreado mediante el uso de un servicio abierto de intercambio de datos para alojar la carga útil de Python, adaptando la técnica de ejecución sin archivos a Python y compilando un minero XMRig para incrustar su configuración para evitar tocar el disco o usar un revelador. línea de comando», dijeron los investigadores.
El desarrollo se produce cuando Sysdig detalló una nueva campaña de ataque montada por un actor de amenazas conocido como SCARLETEEL que implica el abuso de la infraestructura de AWS para robar datos de propiedad y realizar criptominería ilícita.