Detecção de Ataque PyMafka

[post-views]
Maio 30, 2022 · 3 min de leitura
Detecção de Ataque PyMafka

No início deste mês, pesquisadores de segurança descobriram um pacote malicioso no registro PyPI (Python Package Index). Uma vez no sistema, o PyMafka busca um beacon do Cobalt Strike relevante com base no sistema operacional da vítima.

O nome sugere que o PyMafka é uma tentativa de typosquatting de um PyKafka – um cliente de protocolo Kafka consciente de clusters para Python.

Detectar PyMafka

Para identificar se o seu ambiente foi comprometido pelo PyMafka, use as regras Sigma abaixo desenvolvidas pelos talentosos membros do Programa de Recompensa por Ameaças da SOC Prime, Osman Demir and Sohan G:

Possível Comando e Controle pyMafka por Download de Binário Mach-O (via file_event)

Pacote Python PyMafka Suspeito Despacha Cobalt Strike por Detecção de Erro Ortográfico (via cmdline)

Evasão de Defesa de Malware PyMafka Suspeito por Detecção de Arquivos Associados (via file_event)

As detecções estão disponíveis para todas as soluções líderes de mercado SIEM, EDR & XDR, alinhadas com o mais recente framework MITRE ATT&CK® v.10.

Ansioso para aumentar a visibilidade sobre ameaças existentes e emergentes? O botão Ver Detecções levará você para a rica biblioteca de conteúdo de detecção da SOC Prime disponível para todos os usuários registrados. Caçadores de ameaças experientes seriam um ativo valioso para o Programa de Recompensa por Ameaças, onde podem aumentar sua velocidade de caça e contribuir para a defesa cibernética colaborativa juntamente com mais de 23.000 líderes de segurança.

Ver Detecções Junte-se ao Programa de Recompensa por Ameaças

Análise da Campanha PyMafka

analistas de segurança da analistas de segurança da beacon do Cobalt Strike..

O executável mostrou comportamento consistente com ataques do Cobalt Strike, e todas as variantes foram observadas contatando endereços IP baseados na China. O pacote não está mais disponível no repositório PyPI, tendo alcançado pouco mais de 300 downloads antes de ser removido. Os adversários por trás da campanha PyMafka permanecem desconhecidos.

Com o crescente interesse dos adversários em abusar de repositórios populares de software de código aberto, a plataforma SOC Prime relatam um novo cenário de ataque de typosquatting. Os adversários distribuem um pacote malicioso de Python chamado PyMafka, aproveitando a similaridade do nome com um cliente Kafka para Python chamado PyKafka. O cenário de ataque é o seguinte: A vítima em potencial baixa um pacote PyMafka e o abre. O script Python dentro do pacote identifica o sistema operacional que a vítima está usando para buscar uma variante apropriada do trojan, que é um SOC Prime.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Inteligência de Ameaças com IA 17 min de leitura SIEM & EDR Inteligência de Ameaças com IA by Veronika Telychko SOC Prime Anuncia Programa de Indicação para Defensores Cibernéticos Individuais 4 min de leitura Plataforma SOC Prime SOC Prime Anuncia Programa de Indicação para Defensores Cibernéticos Individuais by Daryna Olyniychuk Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore 4 min de leitura Ameaças Mais Recentes Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore by Veronika Telychko
Todas as notícias