Cyberthreat.id - Serangan tanpa file baru yang dijuluki PyLoose diamati menyerang beban kerja cloud dengan tujuan memberikan penambang cryptocurrency. Demikian temuan baru dari Wiz mengungkapkannya, sebagaimana dipublis The Hacker News.

"Serangan itu terdiri dari kode Python yang memuat XMRig Miner langsung ke memori menggunakan memfd, teknik tanpa file Linux yang dikenal," kata peneliti keamanan Avigayil Mechtinger, Oren Ofer, dan Itamar Gilad. "Ini adalah serangan tanpa file berbasis Python pertama yang didokumentasikan secara publik yang menargetkan beban kerja cloud di alam liar."

Perusahaan keamanan cloud mengatakan menemukan hampir 200 contoh di mana metode serangan digunakan untuk penambangan cryptocurrency. Tidak ada detail lain tentang aktor ancaman yang diketahui saat ini selain fakta bahwa mereka memiliki kemampuan yang canggih.

Dalam rantai infeksi yang didokumentasikan oleh Wiz, tulis The Hacker News, akses awal dicapai melalui eksploitasi layanan Notebook Jupyter yang dapat diakses publik yang memungkinkan eksekusi perintah sistem menggunakan modul Python.

Disebutkan bahwa PyLoose, pertama kali terdeteksi pada 22 Juni 2023, adalah skrip Python dengan hanya sembilan baris kode yang menyematkan penambang XMRig terkompresi dan dikodekan yang telah dikompilasi. “Payload diambil dari paste.c-net[.]org ke dalam memori runtime Python melalui permintaan HTTPS GET tanpa harus menulis file ke disk,” urai The Hacker News.

Kode Python dirancang untuk mendekode dan mendekompres penambang XMRig dan kemudian memuatnya langsung ke memori melalui deskriptor file memori memfd, yang digunakan untuk mengakses file residen memori.

"Penyerang berusaha keras agar tidak dapat dilacak dengan menggunakan layanan berbagi data terbuka untuk menghosting muatan Python, mengadaptasi teknik eksekusi tanpa file ke Python, dan mengkompilasi penambang XMRig untuk menyematkan konfigurasinya agar tidak menyentuh disk atau menggunakan baris perintah," kata para peneliti.

Perkembangan tersebut terjadi saat Sysdig merinci kampanye serangan baru yang dipasang oleh aktor ancaman yang dikenal sebagai SCARLETEEL yang melibatkan penyalahgunaan infrastruktur AWS untuk mencuri data hak milik dan melakukan penambangan kripto ilegal.[]