Эксперты обнаружили новое бесфайловое вредоносное программное обеспечение (ПО), которое назвали PyLoose, способное майнить криптовалюту, оставаясь практически незаметным за счёт необычного механизма работы. «Червь» нацелен на облачные системы на основе операционной систем Linux.
Аналитики компании по информационной безопасности Wiz сообщили, что неизвестные хакеры нашли новый способ майнить криптовалюту Monero (XMR), используя чужие вычислительные мощности. Необычным в этом случае является то, что «малварь» нацелена облачные серверы под управлением Linux, которая считается значительно более устойчивой к вирусам в сравнении с более распространённой ОС Windows, а также уникальный механизм работы вредоноса.
По словам специалистов, PyLoose представляет собой относительно простой скрипт, написанный на языке Python с предварительно скомпилированным в base64-кодировке майнером XMRig – широко распространенным инструментом с открытым исходным кодом, который используется для майнинга XMR. При этом, PyLoose является бесфайловым ПО, то есть он не сохраняется на жестком диске в виде исполняемого файла, а загружается напрямую в оперативную память, не оставляя следов присутствия на носителях, что делает его крайне малозаметным для защитных средств.
«С помощью Wiz Runtime Sensor мы недавно обнаружили новое бесфайловое ПО, нацеленное на облачные вычислительные мощности. В основе ПО лежит код, написанный на языке Python, который загружает майнер XMRig непосредственно в память с помощью memfd – известного бесфайлового механизма в Linux. Насколько нам известно, это первая публично задокументированная бесфайловая атака на основе Python, направленная на облачные вычислительные мощности, и, по нашим данным, насчитывается около 200 случаев, когда это ПО использовалось для майнинга криптовалют. Мы назвали атаку PyLoose по URL-адресу, на котором размещался загрузчик Python (https://paste[.]c-net.org/chattingloosened)»,, — говорится в блоге компании Wiz.
Memory File Descriptor или сокращенно memfd – это механизм, предоставляемый ядром Linux, который позволяет создавать анонимные файлы непосредственно в оперативной памяти компьютера без отображения на диске. Он может быть использован для различных целей, включая обмен данными, создание временных файлов и реализацию безопасных механизмов обмена данными.
Одним из преимуществ memfd является его быстрота и эффективность. Поскольку данные хранятся непосредственно в памяти, обмен данными происходит без необходимости использования диска, что может быть полезно в сценариях, где требуется быстрый доступ к информации. Однако по этой же причине memfd может быть использован злонамеренными атакующими для скрытого присутствия в системе.
«Несмотря на известность этой технологии, сообщения о новых случаях бесфайловых атак, нацеленных на облачные системы, поступают редко. Так, последний раз о такой активности сообщалось два с половиной года назад компанией AT&T, когда TeamTNT использовала Ezuri, инструмент с открытым исходным кодом, написанный на языке Go, для загрузки бесфайлового вредоноса», — говорится в публикации Wiz.
Специалисты Wiz также разъяснили, что атаки начинались с получения первоначального доступа к устройствам через общедоступные сервисы Jupyter Notebook, в которых не было ограничения на исполнение системных команд.
С помощью HTTPS GET-запроса злоумышленник подтягивает вредоносный код (PyLoose) с сайта, подобного Pastebin, «paste.c-net.org», а затем загружает его прямо в память среды выполнения Python.
Скрипт PyLoose декодируется и распаковывается, загружая скомпилированный майнер XMRig непосредственно в память устройства с помощью memfd.
«После загрузки вредоноса в разделе памяти, созданном с помощью memfd, злоумышленники могут послать запрос на исполнение одного из системных вызовов exec для содержимого этого раздела памяти так, как если бы это был обычный файл на диске и, таким образом, запустить новый процесс», — объясняют аналитики.
Специалисты также отметили, что хакеры использовали относительно свежую версию (v6.19.3) майнера XMRig, который настроили на майнинг Monero через майнинг-пул «MoneroOcean».
В Wiz не смогли установить кто может стоять за PyLoose, поскольку злоумышленник или группа злоумышленников не оставили никаких следов, которые могли бы раскрыть его личность. Эксперты добавили, что обнаруженное ПО выглядит весьма изощренным и выделяется на фоне типичных угроз, нацеленных на облачные системы.
Администраторам таких систем порекомендовали использовать надежные пароли и многофакторную аутентификацию для защиты доступа к своим сервисам, а также устанавливать ограничения на выполнение системных команд.
