Erkennung von PyMafka-Angriffen

Früher in diesem Monat entdeckten Sicherheitsforscher ein bösartiges Paket im Python Package Index (PyPI) Registry. Sobald es im System ist, lädt PyMafka einen relevanten Cobalt Strike Beacon basierend auf dem Betriebssystem des Opfers herunter.

Der Name legt nahe, dass PyMafka ein Versuch ist, sich durch Tippfehler an PyKafka anzulehnen – einen clusterfähigen Kafka-Protokollclient für Python.

Erkennen Sie PyMafka

Um festzustellen, ob Ihre Umgebung durch PyMafka kompromittiert wurde, verwenden Sie die Sigma-Regeln unten, entwickelt von den talentierten Mitgliedern des SOC Prime Threat Bounty Program, Osman Demir and Sohan G:

Möglicher pyMafka Command and Control durch den Download einer Mach-O-Binärdatei (via file_event)

Verdächtiges PyMafka Python-Paket legt Cobalt Strike durch Erkennung von Tippfehlern ab (via cmdline)

Verdächtige PyMafka-Malware-Verteidigungsausweitung durch Erkennung zugehöriger Dateien (via file_event)

Die Erkennungen sind für alle marktführenden SIEM, EDR & XDR-Lösungen verfügbar, abgestimmt auf das neueste MITRE ATT&CK® Framework v.10.

Eifrig, die Sichtbarkeit in bestehende und neue Bedrohungen zu erhöhen? Der Detektionen anzeigen Button leitet Sie zur umfassenden Erkennungsinhaltsbibliothek von SOC Prime weiter, die für alle registrierten Benutzer verfügbar ist. Erfahrene Bedrohungsjäger würden einen wertvollen Beitrag zum Threat Bounty Program leisten, wo sie ihre Bedrohungsjagdgeschwindigkeit erhöhen und zur kollaborativen Cyber-Verteidigung zusammen mit über 23.000 Sicherheitsleitern beitragen können.

Detektionen anzeigen Trete dem Threat Bounty bei

PyMafka-Kampagnenanalyse

Sonatype Sicherheitsanalysten berichten über ein neues Typosquatting-Angriffszenario. Gegner verbreiten ein bösartiges Python-Paket namens PyMafka, das aufgrund der Namensähnlichkeit zu einem Kafka-Client für Python namens PyKafka ausgenutzt wird. Das Angriffsszenario ist wie folgt: Das potenzielle Opfer lädt ein PyMafka-Paket herunter und öffnet es. Das Python-Skript innerhalb des Pakets identifiziert das Betriebssystem, das das Opfer verwendet, um eine OS-geeignete Variante des Trojaners herunterzuladen, welcher ein Cobalt Strike Beacon ist.

Die ausführbare Datei zeigte ein Verhalten, das mit Cobalt Strike Angriffen konsistent ist, und alle Varianten wurden dabei beobachtet, wie sie IP-Adressen in China kontaktierten. Das Paket ist nicht mehr im PyPI-Repository verfügbar, da es etwas über 300 Downloads erreichte, bevor es entfernt wurde. Die Hintermänner der PyMafka-Kampagne bleiben unbekannt.

Mit dem wachsenden Interesse von Gegnern an der Ausnutzung beliebter Open-Source-Software-Repositorys hilft die SOC Prime Plattform dabei, sich schneller und effizienter gegen neue Hacking-Lösungen zu verteidigen. Testen Sie die Content-Streaming-Fähigkeiten des CCM-Moduls und helfen Sie Ihrer Organisation, tägliche SOC-Operationen mit Cyber-Bedrohungsinformationen zu stärken. Bleiben Sie am Puls der schnellen Cybersecurity-Risiken und erhalten Sie die besten Abwehrlösungen mit SOC Prime.