Forskare vid Wiz Security dokumenterade en ny skadlig kod som heter PyLooseutnyttjar molnets arbetsbelastningar för att bryta Monero-kryptovalutor.
PyLoose är en fillös skadlig programvara eftersom den inte lämnar några spår på den utnyttjade maskinen någonstans. Skadlig programvara anskaffas på distans av hotaktören och exekveras direkt i Pythons körtidsminne – vilket gör det svårt för vanliga säkerhetsverktyg att upptäcka. Administratörer av molnbelastningar rekommenderas att vara vaksamma och säkra sina nätverk.
Lämnar inga spår av attack
En ny skadlig programvara är i det vilda inriktad på utsatta molnarbetsbelastningar, där den okända hotaktören utnyttjar offrets resurser för att bryta Monero-kryptovalutor. Wiz-forskare döpte den nya skadliga programvaran PyLoosesom körs i Pythons körtidsminne för att undvika upptäckt.
Forskare först upptäckt PyLoose attacker i naturen den 22 juni 2023, och noterade minst 200 kompromissfall. Hotaktörerna börjar med att komma åt de allmänt tillgängliga Jupyter Notebook-tjänsterna eftersom de misslyckas med att begränsa systemkommandon. Efter att hitta den initiala åtkomsten utfärdar hotaktören sedan en HTTPS GET-begäran för att skaffa nyttolasten från Pastebin och exekvera den direkt i Pythons körtidsminne.
Forskare sa att förövarna använder Linuxs verktyg för att utföra nyttolasten. Och när den laddas direkt in i systemets minnesenhet, finns det inga spår kvar av hotaktörerna. Som sådan kunde forskare inte tillskriva denna attack till någon specifik hotaktör. Men de hävdar att teamet bakom detta är sofistikerat eftersom de riktar in sig på molninstanser med fillösa attacker.
När den har laddats kommer den fillösa skadliga programvaran att använda offrets resurser för att bryta Monero-kryptovalutor för hotaktören, som kommer att transporteras till hackarens plånbok senare. Eftersom det inte finns mycket identifierbar information om denna skadliga programvara, bör användare vara vaksamma på misstänkt aktivitet i sina system.
Därför rekommenderas systemadministratörerna för alla molninstanser att minska offentlig exponering av sina tjänster om de är mottagliga för kodexekvering. De bör också använda starka lösenord och multifaktorautentisering för att skydda åtkomsten till dessa tjänster och möjliggöra begränsningar för körning av systemkommandon.
