Serangan tanpa file baru yang disebut PyLoose telah ditemukan yang menyerang beban kerja cloud dengan tujuan memberikan cryptocurrency kepada penambang. Ini adalah temuan baru Wiz, diterbitkan oleh The Hacker News.
"Serangan itu terdiri dari memuat kode Python langsung ke memori XMRig Miner menggunakan teknik memfd file Linux yang terkenal," kata peneliti keamanan Avigayil Mechtinger, Oren Ofer dan Itamar Gilad. "Ini adalah serangan tanpa file berbasis Python pertama yang didokumentasikan secara publik terhadap beban kerja cloud di alam liar."
Perusahaan keamanan cloud mengumumkan bahwa mereka menemukan hampir 200 kasus di mana metode serangan digunakan untuk menambang cryptocurrency. Tidak ada detail lain yang saat ini diketahui tentang aktor ancaman tersebut kecuali bahwa mereka memiliki fitur tambahan. Dalam rantai infeksi Wiz yang didokumentasikan, tulis The Hacker News, akses awal diperoleh dengan mengeksploitasi layanan Notebook Jupyter yang tersedia untuk umum, yang memungkinkan modul Python untuk menjalankan perintah sistem.
Dikatakan PyLoose, pertama kali terlihat pada 22 Juni 2023, adalah skrip Python dengan hanya sembilan baris kode yang menyematkan penambang XMRig yang telah dikompilasi, dikemas, dan dikodekan. "Payload diambil dari paste.c-net[.]org ke runtime Python melalui permintaan HTTPS GET tanpa harus menulis file ke disk," The Hacker News menjelaskan.
"Serangan itu terdiri dari memuat kode Python langsung ke memori XMRig Miner menggunakan teknik memfd file Linux yang terkenal," kata peneliti keamanan Avigayil Mechtinger, Oren Ofer dan Itamar Gilad. "Ini adalah serangan tanpa file berbasis Python pertama yang didokumentasikan secara publik terhadap beban kerja cloud di alam liar."
Perusahaan keamanan cloud mengumumkan bahwa mereka menemukan hampir 200 kasus di mana metode serangan digunakan untuk menambang cryptocurrency. Tidak ada detail lain yang saat ini diketahui tentang aktor ancaman tersebut kecuali bahwa mereka memiliki fitur tambahan. Dalam rantai infeksi Wiz yang didokumentasikan, tulis The Hacker News, akses awal diperoleh dengan mengeksploitasi layanan Notebook Jupyter yang tersedia untuk umum, yang memungkinkan modul Python untuk menjalankan perintah sistem.
Dikatakan PyLoose, pertama kali terlihat pada 22 Juni 2023, adalah skrip Python dengan hanya sembilan baris kode yang menyematkan penambang XMRig yang telah dikompilasi, dikemas, dan dikodekan. "Payload diambil dari paste.c-net[.]org ke runtime Python melalui permintaan HTTPS GET tanpa harus menulis file ke disk," The Hacker News menjelaskan.
Kode Python adalah untuk membongkar dan mendekompresi XMRig Miner dan kemudian memuatnya langsung ke memori menggunakan deskriptor file memori memfd, yang digunakan untuk mengakses file dalam memori.
"Penyerang bertujuan untuk tetap tidak dapat dilacak dengan menggunakan layanan berbagi data terbuka untuk menghosting muatan Python, mengadaptasi teknik eksekusi tanpa file untuk Python, dan menerjemahkan penambang XMRig untuk menyematkan rakitan mereka tanpa menyentuh disk atau menggunakan baris perintah," kata para peneliti. Perkembangan tersebut terjadi saat Sysdig mengungkapkan kampanye serangan baru yang diluncurkan oleh aktor ancaman yang dikenal sebagai SCARLETEEL, yang melibatkan penyalahgunaan infrastruktur AWS untuk mencuri data hak milik dan melakukan penambangan kripto ilegal.
(Sumber : https://cyberthreat.id/read/15780/Serangan-Tanpa-File-PyLoose-Berbasis-Python-Targetkan-Beban-Kerja-Cloud-untuk-Penambangan-Cryptocurrency)