今月初め、セキュリティ研究者たちはPython Package Index (PyPI)レジストリで悪意のあるパッケージを発見しました。システム内に入ると、PyMafkaは被害者のOSに基づいて関連するCobalt Strikeビーコンを取得します。
この名前は、PyMafkaが、Python用のクラスタ対応KafkaプロトコルクライアントであるPyKafkaをタイポスクワットしようとする試みであることを示唆しています。
PyMafkaを検出する
PyMafkaによって環境が侵害されたかを特定するためには、以下の Sigmaルール を使用してください。これは、SOC Prime Threat Bounty Programの才能あるメンバーたちによって開発されました。 Osman Demir and Sohan G:
Mach-Oバイナリのダウンロードによる可能性のあるpyMafkaのコマンド・アンド・コントロール(file_event経由)
スペルミスの検出による疑わしいPyMafka PythonパッケージのCobalt Strikeの投入(cmdline経由)
関連ファイルの検出による疑わしいPyMafkaマルウェアの防御回避(file_event経由)
この検出は、すべての市場をリードするSIEM、EDR & XDRソリューションで利用可能で、最新のMITRE ATT&CK®フレームワークv.10に整合しています。
既存および新たに発生する脅威への可視性を高めたいですか? 検出を見る ボタンをクリックすると、登録ユーザーすべてが利用可能なSOC Primeの豊富な検出コンテンツライブラリにアクセスできます。経験豊富な脅威ハンターは、Threat Bounty Programへの貴重な資産となり、脅威ハンティングの速度を上げ、23,000人以上のセキュリティリーダーとともに協力的なサイバー防御に貢献することができます。
PyMafkaキャンペーン分析
Sonatype のセキュリティアナリストは、新しいタイポスクワッティング攻撃のシナリオを報告しています。敵対者は、Python用のKafkaクライアントであるPyKafkaと名前の類似性を利用し、PyMafkaと名付けられた悪意のあるPythonパッケージを配布しています。攻撃シナリオは次の通りです: 被害者となる人がPyMafkaパッケージをダウンロードして開きます。パッケージ内のPythonスクリプトは、被害者が使用しているOSを特定し、OSに適したトロイの木馬のバリアントを取得します。 Cobalt Strikeビーコン.
実行可能ファイルはCobalt Strike攻撃と一致する行動を示し、すべてのバリアントは中国に基づくIPアドレスに接続することが確認されました。パッケージはPyPIリポジトリで利用できなくなっており、削除される前に300超のダウンロード数に達していました。PyMafkaキャンペーンの背後にいる敵対者たちはまだ不明です。
人気のあるオープンソースソフトウェアリポジトリを悪用しようとする敵対者の関心が高まる中、 SOC Primeプラットフォーム は新しいハッキングソリューションに対してより速くより効率的に防御します。CCMモジュールのコンテンツストリーミング機能をテストし、サイバー脅威インテリジェンスで毎日のSOC業務を強化する組織を支援します。サイバーセキュリティリスクの急速に変化する環境に注視し、最適な緩和ソリューションを手に入れてください。 SOC Prime.
