Une nouvelle attaque sans fichier baptisée PyLoose a été observé des charges de travail cloud frappantes dans le but de fournir un mineur de crypto-monnaie, révèlent de nouvelles découvertes de Wiz.
« L’attaque consiste en un code Python qui charge un XMRig Miner directement en mémoire à l’aide memfdune technique Linux sans fichier connue », les chercheurs en sécurité Avigayil Mechtinger, Oren Ofer et Itamar Gilad a dit. « Il s’agit de la première attaque sans fichier publiquement documentée basée sur Python ciblant les charges de travail cloud dans la nature. »
La société de sécurité cloud a déclaré avoir trouvé près de 200 cas où la méthode d’attaque a été utilisée pour l’extraction de crypto-monnaie. Aucun autre détail sur l’acteur de la menace n’est actuellement connu autre que le fait qu’il possède des capacités sophistiquées.
Dans la chaîne d’infection documentée par Wiz, l’accès initial est obtenu grâce à l’exploitation d’un service Jupyter Notebook accessible au public qui permettait l’exécution de commandes système à l’aide de modules Python.
PyLoose, détecté pour la première fois le 22 juin 2023, est un script Python avec seulement neuf lignes de code qui intègre un mineur XMRig précompilé compressé et encodé. La charge utile est récupérée à partir de paste.c-net[.]org dans la mémoire du runtime Python au moyen d’une requête HTTPS GET sans avoir à écrire le fichier sur le disque.
Le code Python est conçu pour décoder et décompresser le mineur XMRig, puis le charger directement en mémoire via le descripteur de fichier mémoire memfd, qui est utilisé pour accéder fichiers résidant en mémoire.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
« L’attaquant s’est donné beaucoup de mal pour être introuvable en utilisant un service de partage de données ouvert pour héberger la charge utile Python, en adaptant la technique d’exécution sans fichier à Python et en compilant un mineur XMRig pour intégrer sa configuration afin d’éviter de toucher le disque ou d’utiliser un révélateur. ligne de commande », ont déclaré les chercheurs.
Le développement intervient alors que Sysdig a détaillé une nouvelle campagne d’attaque montée par un acteur menaçant connu sous le nom de SCARLETEEL qui implique l’abus de l’infrastructure AWS pour voler des données propriétaires et mener une crypto-extraction illicite.