Wiz-ի նոր բացահայտումները ցույց են տալիս, որ PyLoose կոչվող նոր fileless հարձակումը նկատվել է cloud-ային տիրույթներում, որի նպատակը cryptocurrency miner-երի փոխանցումն ու տեղակայումն է:
«Հարձակումը հիմնված է Python կոդի վրա, որը XMRig Miner-ը անմիջապես բեռնում է հիշողության մեջ՝ օգտագործելով memfd-ը: memfd-ը Linux-ի հայտնի fileless տեխնիկան է», – նշում են անվտանգության ոլորտի փորձագետներ՝ Ավիգեյլ Մեխտինգերը, Օրեն Օֆերը և Իտամար Գիլադը։
«Սա առաջին հրապարակայնորեն իրականացված մեծ հարձակումն է, որն ուղղված է cloud-ային տիրույթին»:
Wiz-ը նախնական մուտքն իրականացնում է հանրությանը հասանելի՝ Jupyter Notebook ծառայության շահագործման միջոցով, որն օգտագործելով Python մոդուլները թույլ է տալիս կատարել համակարգի անրաժեշտ հրամանները:
PyLoose-ը Python-ի սկրիպտ է, որը ներկառուցում է կոդավորված և նախապես կազմված XMRig miner-ը: Payload-ը վերցվում է Python-ի գործարկման ժամանակ՝ paste.c-net[.]org-ից:
Python կոդը նախատեսված է XMRig miner-ն ապակոդավորելու համար, այնուհետև այն անմիջապես բեռնվում է հիշողության մեջ և օգտագործվում է memory-resident մուտք գործելու համար:
«Նկատելի է, որ հաքերը մեծ ջանքեր է գործադրել, որպեսզի չբացահայտվի: Հարձակման ժամանակ օգտագործել է տվյալների open data-sharing ծառայությունը՝ Python-ի fileless տեխնիկան ադապտացնելու համար»,- նշում են փորձագետները։
Աղբյուրը՝ https://thehackernews.com/
