Rilevamento dell’Attacco PyMafka

All’inizio di questo mese, i ricercatori di sicurezza hanno scoperto un pacchetto dannoso nel registro Python Package Index (PyPI). Una volta nel sistema, PyMafka recupera un beacon di Cobalt Strike pertinente basato sul sistema operativo della vittima.

Il nome suggerisce che PyMafka sia un tentativo di typosquatting di un PyKafka – un client di protocollo Kafka consapevole del cluster per Python.

Rileva PyMafka

Per identificare se il tuo ambiente è stato compromesso da PyMafka, utilizza le regole Sigma sotto sviluppate dai talentuosi membri del SOC Prime Threat Bounty Program, Osman Demir and Sohan G:

Possibile Comando e Controllo di pyMafka tramite Download di Binario Mach-O (via file_event)

Pacchetto Python PyMafka Sospetto Rilascia Cobalt Strike rilevando un errore di ortografia (via cmdline)

Evasione della Difesa Malware Sospetta PyMafka rilevando File Associati (via file_event)

Le rilevazioni sono disponibili per tutte le soluzioni SIEM, EDR & XDR leader di mercato, in linea con la versione 10 del più recente framework MITRE ATT&CK®.

Desideroso di aumentare la visibilità sulle minacce esistenti ed emergenti? Il Pulsante Visualizza Rilevazioni ti porterà a una ricca libreria di contenuti di rilevamento di SOC Prime disponibili per tutti gli utenti registrati. I cacciatori di minacce esperti rappresentano una risorsa preziosa per il Threat Bounty Program, dove possono aumentare la loro velocità di caccia alle minacce e contribuire alla difesa informatica collaborativa insieme a oltre 23.000 leader della sicurezza.

Pulsante Visualizza Rilevazioni Unisciti a Threat Bounty

Analisi della Campagna PyMafka

Gli analisti di sicurezza di Sonatype riportano un nuovo scenario di attacco di typosquatting. Gli avversari distribuiscono un pacchetto Python dannoso denominato PyMafka, sfruttando la somiglianza del nome con un client Kafka per Python chiamato PyKafka. Lo scenario dell’attacco è il seguente: la vittima potenziale scarica un pacchetto PyMafka e lo apre. Lo script Python all’interno del pacchetto identifica il sistema operativo utilizzato dalla vittima per recuperare una variante del trojan adatta al sistema operativo, che è un beacon di Cobalt Strike.

L’eseguibile ha mostrato un comportamento coerente con gli attacchi di Cobalt Strike, e tutte le varianti sono state individuate in contatto con indirizzi IP basati in Cina. Il pacchetto non è più disponibile nel repository PyPI, avendo raggiunto poco più di 300 download prima di essere rimosso. Gli avversari dietro la campagna PyMafka rimangono sconosciuti.

Con un crescente interesse degli avversari nell’abuso dei popolari repository di software open-source, la piattaforma SOC Prime aiuta a difendersi contro nuove soluzioni di hacking più velocemente ed efficientemente. Testa le capacità di streaming dei contenuti del modulo CCM e aiuta la tua organizzazione a potenziare le operazioni quotidiane del SOC con l’intelligence delle minacce informatiche. Tieni il dito sul polso dell’ambiente frenetico dei rischi della sicurezza informatica e ottieni le migliori soluzioni di mitigazione con SOC Prime.