Οι ειδικοί στην κυβερνοασφάλεια έχουν εντοπίσει ένα εξελιγμένο εργαλείο hacking με την ονομασία “Eye Pyramid”, το οποίο χρησιμοποιείται ενεργά σε κακόβουλες εκστρατείες από τα μέσα Ιανουαρίου 2025.
Δείτε επίσης: Το Tsunami malware διαθέτει Miners και Credential Stealers
Το εργαλείο αυτό, που αρχικά διατέθηκε ως ανοιχτού κώδικα στο GitHub το 2022, έχει μόλις πρόσφατα αποκτήσει δημοτικότητα μεταξύ των κυβερνοεγκληματιών, αξιοποιώντας τη γλώσσα Python για την απευθείας φόρτωση κακόβουλων φορτίων στη μνήμη, χωρίς να αφήνει παραδοσιακά ψηφιακά ίχνη στα παραβιασμένα συστήματα.
Το Eye Pyramid λειτουργεί ως ένα ευέλικτο “backdoor”, επιτρέποντας στους επιτιθέμενους να διατηρούν πρόσβαση σε παραβιασμένα δίκτυα και να αναπτύσσουν επιπλέον επιθετικά εργαλεία. Η αρχιτεκτονική του, βασισμένη σε γλώσσα Python, προσφέρει συμβατότητα με πολλαπλά λειτουργικά συστήματα, καθιστώντας το ιδιαίτερα επικίνδυνο για οργανισμούς με ετερογενή υπολογιστικά περιβάλλοντα.
Ο μηχανισμός εκτέλεσης του εργαλείου αποκλειστικά στη μνήμη μειώνει σημαντικά την ανιχνευσιμότητά του από τις παραδοσιακές λύσεις ασφαλείας.
Δείτε ακόμα: Το νέο DslogdRAT malware διανέμεται μέσω ευπάθειας στο Ivanti Connect Secure
Ερευνητές της Intrinsec εντόπισαν ένα ανησυχητικό μοτίβο διευθύνσεων IP που συνδέονται με διακομιστές εντολών και ελέγχου (C2) του Eye Pyramid, πολλές από τις οποίες φιλοξενούνται σε διαβόητους παρόχους υπηρεσιών “bulletproof hosting“, όπως οι Limenet, Aeza και Railnet.
Οι πάροχοι αυτοί είναι γνωστοί για την ελαστική τους στάση απέναντι σε παράνομες δραστηριότητες, προσφέροντας στους κυβερνοεγκληματίες υποδομές με υψηλή ανθεκτικότητα σε απόπειρες τερματισμού της λειτουργίας τους.
Περαιτέρω έρευνες αποκάλυψαν ότι το Eye Pyramid χρησιμοποιείται σε συνδυασμό με καθιερωμένες οικογένειες κακόβουλου λογισμικού, όπως τα Cobalt Strike, Sliver και Rhadamanthys.
Ακόμη πιο ανησυχητικό είναι το γεγονός ότι το εργαλείο έχει συσχετιστεί με αρκετές επιθέσεις τύπου ransomware, μεταξύ των οποίων οι Rhysida, Vice Society και BlackCat, γεγονός που υποδηλώνει ότι αποτελεί πλέον βασικό στοιχείο σε πολύπλοκες αλυσίδες κυβερνοεπιθέσεων.
Δείτε επίσης: Νέο XorDDoS malware επιτρέπει δημιουργία DDoS botnet
Κάτι σχετικό με τα παραπάνω είναι η αυξανόμενη χρήση fileless malware (κακόβουλου λογισμικού χωρίς αρχεία), μια τεχνική που, όπως και το Eye Pyramid, αξιοποιεί την εκτέλεση του κακόβουλου κώδικα αποκλειστικά στη μνήμη του συστήματος. Αυτός ο τύπος απειλής είναι ιδιαίτερα επικίνδυνος, καθώς δεν αφήνει ίχνη στο δίσκο, γεγονός που τον καθιστά δύσκολα ανιχνεύσιμο από τα παραδοσιακά antivirus και EDR (Endpoint Detection and Response) συστήματα. Μια επιπλέον σχετική εξέλιξη είναι η τάση των επιτιθέμενων να χρησιμοποιούν “living-off-the-land” τεχνικές, δηλαδή να αξιοποιούν νόμιμα εργαλεία του λειτουργικού συστήματος (π.χ. PowerShell, WMI, ή Python εφόσον είναι εγκατεστημένο) για την επίθεση, μειώνοντας περαιτέρω το αποτύπωμά τους.
Πηγή: cybersecuritynews
