Forscher von Wiz Security dokumentierten eine neuartige Malware namens PyLooseindem Cloud-Workloads zum Mining der Kryptowährung Monero genutzt werden.
PyLoose ist eine dateilose Malware, da sie auf der angegriffenen Maschine keine Spuren hinterlässt.. Die Malware wird vom Bedrohungsakteur aus der Ferne beschafft und direkt im Laufzeitspeicher von Python ausgeführt – was es für normale Sicherheitstools schwierig macht, sie zu erkennen. Administratoren von Cloud-Workloads wird geraten, wachsam zu sein und ihre Netzwerke zu sichern.
Keine Spuren des Angriffs hinterlassen
Eine neue Malware ist im Umlauf und zielt auf exponierte Cloud-Workloads ab, wobei der unbekannte Bedrohungsakteur die Ressourcen des Opfers zum Mining der Kryptowährung Monero ausnutzt. Die Wiz-Forscher nannten die neuartige Malware PyLoosedas im Laufzeitspeicher von Python ausgeführt wird, um eine Erkennung zu vermeiden.
Forscher entdeckten PyLoose-Angriffe erstmals am 22. Juni 2023 in freier Wildbahn. und stellte mindestens 200 Kompromissfälle fest. Die Bedrohungsakteure greifen zunächst auf die öffentlich verfügbaren Jupyter Notebook-Dienste zu, da diese keine Systembefehle einschränken. Nachdem der Bedrohungsakteur den ersten Zugriff gefunden hat, sendet er eine HTTPS-GET-Anfrage, um die Nutzlast von Pastebin abzurufen und sie direkt im Laufzeitspeicher von Python auszuführen.
Forscher sagten, dass die Täter Linux-Tools zur Ausführung der Nutzlast verwenden. Und da es direkt in den Arbeitsspeicher des Systems geladen wird, hinterlassen die Bedrohungsakteure keine Spuren. Daher konnten die Forscher diesen Angriff keinem bestimmten Bedrohungsakteur zuordnen. Sie behaupten jedoch, dass das dahinterstehende Team raffiniert vorgeht, da es Cloud-Instanzen mit dateilosen Angriffen angreift.
Nach dem Laden nutzt die dateilose Malware die Ressourcen des Opfers, um für den Bedrohungsakteur Monero-Kryptowährungen zu schürfen, die später in die Wallet des Hackers transportiert werden. Da es zu dieser Malware nicht viele identifizierbare Informationen gibt, sollten Benutzer auf verdächtige Aktivitäten in ihren Systemen achten.
Daher wird den Systemadministratoren aller Cloud-Instanzen empfohlen, die öffentliche Zugänglichkeit ihrer Dienste zu beschränken, wenn diese anfällig für Codeausführung sind. Außerdem sollten sie sichere Passwörter und Multi-Faktor-Authentifizierung verwenden, um den Zugriff auf diese Dienste zu schützen, und Einschränkungen für die Ausführung von Systembefehlen aktivieren.
