Detecção de Ataque PyMafka

No início deste mês, pesquisadores de segurança descobriram um pacote malicioso no registro PyPI (Python Package Index). Uma vez no sistema, o PyMafka busca um beacon do Cobalt Strike relevante com base no sistema operacional da vítima.

O nome sugere que o PyMafka é uma tentativa de typosquatting de um PyKafka – um cliente de protocolo Kafka consciente de clusters para Python.

Detectar PyMafka

Para identificar se o seu ambiente foi comprometido pelo PyMafka, use as regras Sigma abaixo desenvolvidas pelos talentosos membros do Programa de Recompensa por Ameaças da SOC Prime, Osman Demir and Sohan G:

Possível Comando e Controle pyMafka por Download de Binário Mach-O (via file_event)

Pacote Python PyMafka Suspeito Despacha Cobalt Strike por Detecção de Erro Ortográfico (via cmdline)

Evasão de Defesa de Malware PyMafka Suspeito por Detecção de Arquivos Associados (via file_event)

As detecções estão disponíveis para todas as soluções líderes de mercado SIEM, EDR & XDR, alinhadas com o mais recente framework MITRE ATT&CK® v.10.

Ansioso para aumentar a visibilidade sobre ameaças existentes e emergentes? O botão Ver Detecções levará você para a rica biblioteca de conteúdo de detecção da SOC Prime disponível para todos os usuários registrados. Caçadores de ameaças experientes seriam um ativo valioso para o Programa de Recompensa por Ameaças, onde podem aumentar sua velocidade de caça e contribuir para a defesa cibernética colaborativa juntamente com mais de 23.000 líderes de segurança.

Ver Detecções Junte-se ao Programa de Recompensa por Ameaças

Análise da Campanha PyMafka

analistas de segurança da analistas de segurança da beacon do Cobalt Strike..

O executável mostrou comportamento consistente com ataques do Cobalt Strike, e todas as variantes foram observadas contatando endereços IP baseados na China. O pacote não está mais disponível no repositório PyPI, tendo alcançado pouco mais de 300 downloads antes de ser removido. Os adversários por trás da campanha PyMafka permanecem desconhecidos.

Com o crescente interesse dos adversários em abusar de repositórios populares de software de código aberto, a plataforma SOC Prime relatam um novo cenário de ataque de typosquatting. Os adversários distribuem um pacote malicioso de Python chamado PyMafka, aproveitando a similaridade do nome com um cliente Kafka para Python chamado PyKafka. O cenário de ataque é o seguinte: A vítima em potencial baixa um pacote PyMafka e o abre. O script Python dentro do pacote identifica o sistema operacional que a vítima está usando para buscar uma variante apropriada do trojan, que é um SOC Prime.