Detección de Ataques PyMafka

A principios de este mes, los investigadores de seguridad descubrieron un paquete malicioso en el registro del Índice de Paquetes de Python (PyPI). Una vez en el sistema, PyMafka busca un beacon Cobalt Strike relevante basado en el sistema operativo de la víctima.

El nombre sugiere que PyMafka es un intento de hacer typosquatting a PyKafka, un cliente de protocolo Kafka consciente de clúster para Python.

Detectar PyMafka

Para identificar si su entorno fue comprometido por PyMafka, use las reglas Sigma a continuación desarrolladas por los talentosos miembros del Programa de Recompensas de Amenazas de SOC Prime, Osman Demir and Sohan G:

Posible Comando y Control de pyMafka mediante Descarga de Binario Mach-O (vía file_event)

Paquete de Python PyMafka Sospechoso Deja Cobalt Strike mediante Detección de Error Ortográfico (vía cmdline)

Evasión de Defensa de Malware PyMafka Sospechoso mediante Detección de Archivos Asociados (vía file_event)

Las detecciones están disponibles para todas las soluciones SIEM, EDR y XDR líderes del mercado, alineadas con el último marco MITRE ATT&CK® v.10.

¿Ansioso por aumentar la visibilidad de amenazas existentes y emergentes? El Ver Detecciones El botón lo llevará a la rica biblioteca de contenido de detección de SOC Prime disponible para todos los usuarios registrados. Los cazadores de amenazas experimentados serían un activo valioso para el Programa de Recompensas de Amenazas, donde pueden aumentar su velocidad de caza de amenazas y contribuir a la defensa cibernética colaborativa junto con más de 23,000 líderes de seguridad.

Ver Detecciones Unirse a Threat Bounty

Análisis de la Campaña PyMafka

Sonatype los analistas de seguridad informan un nuevo escenario de ataque de typosquatting. Los adversarios distribuyen un paquete malicioso de Python llamado PyMafka, aprovechando la similitud del nombre con un cliente Kafka para Python llamado PyKafka. El escenario de ataque es el siguiente: la futura víctima descarga un paquete PyMafka y lo abre. El script de Python dentro del paquete identifica el sistema operativo que está utilizando la víctima para obtener una variante de troyano apropiada para el sistema operativo, que es un beacon Cobalt Strike.

El ejecutable mostró un comportamiento consistente con ataques de Cobalt Strike, y se detectaron todas las variantes contactando direcciones IP basadas en China. El paquete ya no está disponible en el repositorio de PyPI, habiendo alcanzado poco más de 300 descargas antes de ser eliminado. Los adversarios detrás de la campaña PyMafka permanecen desconocidos.

Con un creciente interés de los adversarios en abusar de repositorios de software de código abierto populares, la plataforma SOC Prime ayuda a defenderse contra nuevas soluciones de hacking de manera más rápida y eficiente. Pruebe las capacidades de flujo de contenido del módulo CCM y ayude a su organización a potenciar las operaciones diarias del SOC con inteligencia de amenazas cibernéticas. Mantenga el pulso en el dinámico entorno de riesgos de ciberseguridad y obtenga las mejores soluciones de mitigación con SOC Prime.