Поделиться
Неизвестные хакеры научились добывать криптовалюту, не оставляя следов
Вредонос, запускающийся исключительно в памяти серверов, устанавливает на них криптомайнер Monero. Обнаружить его чрезвычайно трудно.
Простой, да не очень
Бесфайловый вредонос атакует серверы под управлением Linux, перехватывая их вычислительные ресурсы для генерации криптовалюты Monero.
Как отмечает издание Bleeping Computer, вредоносная программа представляет собой относительно простой скрипт, написанный на языке Python, дополненный скомпилированным и закодированным по алгоритму base64 майнером XMRig.
Исследователи компании по информационной безопасности компании Wiz, исследовавшей PyLoose, тот факт, что он запускается исключительно в оперативной памяти, не оставляя следов присутствия на носителях, делает его крайне малозаметным для защитных средств.
Тем не менее, PyLoose был обнаружен. Первые атаки, которые удалось задокументировать экспертам Wiz, случились 22 июня. С тех пор отмечены как минимум 200 атак с использованием этого скрипта. По данным Wiz, это первый случай, когда бесфайловый вредонос на базе Python используется для атак на облачные ресурсы.
Атака начинается с эксплуатации уязвимости в публичных веб-интерфейсах интерактивной вычислительной платформы Jupyter Notebook, в которой плохо реализован механизм ограничения системных команд.
Злоумышленник использует специально подготовленный запрос на загрузку бесфайлого пейлоуда PyLoose с сайта paste.c-net.org, который сразу загружается в память среды выполнения Python.
Скрипт декодируется и разархивируется, и загружает прекомпилированный майнер в память, используя Linux-утилиту memfd. Это довольно популярный метод внедрения бесфайловых вредоносов в Linux: memfd позволяет создавать анонимные файловые объекты в памяти, которые могут использоваться с разными целями.
В том числе для запуска вредоносного процесса прямиком из памяти, что позволяет обойти большинство традиционных антивирусных решений.
Загружаемый в память облачного ресурса майнер - это сравнительно новая версия XMRig (v6.19.3), использующая пул MoneroOcean.
Кто это сделал?
Определить, кто стоит за этой кампанией, экспертам Wiz не удалось: злоумышленники не оставили никаких артефактов, которые помогли бы их идентифицировать. Тем не менее, эксперты полагают, что это далеко не рядовые хакеры и что их методы атак на облачные ресурсы указывают на высокий уровень квалификации.
«Само использование бесфайловых вредоносов уже говорит о том, что атаки устраивают далеко не любители, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - Однако первоначальный этап атаки становится возможным именно из-за слабой защиты «точки входа» - веб-интерфейса, «открытого всем ветрам» и допускающего запуск кода. При выборе жертв хакеры всегда предпочтут тех, кого взломать проще.
Администраторам облачных ресурсов рекомендуется защитить веб-интерфейсы и сервисы, которые допускают запуск произвольного кода, реализовать сложные пароли и многофакторную авторизацию и максимально ограничить возможность выполнения системных команд».
Короткая ссылка
