PyMafka 공격 탐지

이번 달 초, 보안 연구원들은 Python 패키지 인덱스(PyPI) 레지스트리에서 악성 패키지를 발견했습니다. 시스템에 침투하면 PyMafka는 피해자의 운영체제(OS)에 따라 관련 있는 Cobalt Strike 비콘을 가져옵니다.

이름은 PyMafka가 PyKafka의 오타 민감성을 노리는 시도임을 암시합니다. PyKafka는 Python을 위한 클러스터 인식 Kafka 프로토콜 클라이언트입니다.

PyMafka 탐지

귀하의 환경이 PyMafka에 의해 손상되었는지 식별하려면 다음을 사용하십시오 Sigma 규칙 SOC Prime Threat Bounty Program의 재능 있는 회원들이 개발한 아래 규칙을 사용하십시오. Osman Demir and Sohan G:

Mach-O 바이너리 다운로드에 의한 가능한 pyMafka 명령 및 제어(파일 이벤트 통해)

오타 탐지를 통한 의심스러운 PyMafka Python 패키지의 Cobalt Strike 저장(명령줄 통해)

관련 파일의 탐지를 통한 의심스러운 PyMafka 악성 소프트웨어 회피(파일 이벤트 통해)

탐지는 최신 MITRE ATT&CK® 프레임워크 v.10에 정렬된 모든 시장 선도 SIEM, EDR 및 XDR 솔루션에서 사용할 수 있습니다.

기존 및 새로운 위협에 대한 가시성을 더욱 높이고 싶으신가요? 이 탐지 보기 버튼을 클릭하면 모든 등록 사용자가 사용할 수 있는 SOC Prime의 풍부한 탐지 콘텐츠 라이브러리로 이동합니다. 경험 많은 위협 헌터는 23,000명 이상의 보안 리더와 협력하여 협업 사이버 방어에 기여하고, 위협 헌팅 속도를 높이며 Threat Bounty Program의 귀중한 자산이 될 수 있습니다.

탐지 보기 Threat Bounty 참가하기

PyMafka 캠페인 분석

Sonatype 보안 분석가들은 새로운 오타 스쿼팅 공격 시나리오를 보고합니다. 적대자들은 PyKafka라는 이름이 유사한 Python 용 Kafka 클라이언트 인 PyKafka를 이용하여 PyMafka라는 악성 Python 패키지를 배포합니다. 공격 시나리오는 다음과 같습니다. 희생자가 되는 사람은 PyMafka 패키지를 다운로드하고 이를 엽니다. 패키지 내 Python 스크립트는 피해자가 사용 중인 OS를 식별하여 트로이 목마의 해당 버전을 가져옵니다. 이는 Cobalt Strike 비콘입니다..

실행 파일은 Cobalt Strike 공격과 일치하는 동작을 보였고, 모든 변종은 중국 기반 IP 주소에 연결된 것이 확인되었습니다. 패키지는 PyPI 저장소에서 사용할 수 없으며, 제거되기 전에 300회 이상의 다운로드를 기록했습니다. PyMafka 캠페인 뒤에 있는 적대자는 아직 밝혀지지 않았습니다.

인기 있는 오픈 소스 소프트웨어 저장소를 악용하려는 적대자의 관심이 증가함에 따라, 이 SOC Prime 플랫폼 은 새로운 해킹 솔루션에 대한 방어를 더 빠르고 효율적으로 도울 수 있습니다. CCM 모듈의 콘텐츠 스트리밍 기능을 테스트하고 사이버 위협 인텔리전스로 일일 SOC 운영을 강화하여 조직을 지원하십시오. 빠르게 변화하는 사이버 보안 위험 환경의 맥박을 유지하고 SOC Prime과 함께 최상의 완화 솔루션을 얻으십시오..