Un actor de amenazas, presumiblemente de Túnez, ha sido vinculado a una nueva campaña dirigida a los Jupyter Notebooks expuestos en un doble intento de extraer criptomonedas ilícitamente y violar entornos de nube.
Apodado ataque qubit Por Cado, el conjunto de intrusión utiliza la API de Telegram para filtrar las credenciales del proveedor de servicios en la nube luego de un compromiso exitoso.
“Todas las cargas útiles para la campaña Qubitstrike están alojadas en codeberg.org, una plataforma de alojamiento Git alternativa, que proporciona gran parte de la misma funcionalidad que GitHub”, dijeron los investigadores de seguridad Matt Muir y Nate Bill. dicho en un artículo del miércoles.
En la cadena de ataque documentada por la empresa de seguridad en la nube, se violan instancias de Jupyter de acceso público para ejecutar comandos para recuperar un script de shell (mi.sh) alojado en Codeberg.
El script de shell, que actúa como carga útil principal, es responsable de ejecutar un minero de criptomonedas, establecer la persistencia mediante un trabajo cron, insertar una clave controlada por el atacante en el archivo .ssh/authorized_keys para acceso remoto y propagar el malware a otros hosts a través de SSH.
El malware también es capaz de recuperar e instalar el rootkit Dimorphine para ocultar procesos maliciosos, así como transmitir las credenciales capturadas de Amazon Web Services (AWS) y Google Cloud al atacante a través de la API del bot de Telegram.
Un aspecto digno de mención de los ataques es el cambio de nombre de utilidades legítimas de transferencia de datos, como curl y wget, en un probable intento de evadir la detección y evitar que otros usuarios del sistema utilicen las herramientas.
“mi.sh también iterará a través de una lista codificada de nombres de procesos e intentará eliminar los procesos asociados”, dijeron los investigadores. “Es probable que esto frustre cualquier operación minera de competidores que previamente hayan comprometido el sistema”.
El script de shell está diseñado además para aprovechar el comando netstat y una lista codificada de pares de IP/puerto, previamente asociados con campañas de criptojacking, para eliminar cualquier conexión de red existente a esas direcciones IP.
También se han tomado medidas para eliminar varios archivos de registro de Linux (por ejemplo, /var/log/secure y /var/log/wtmp), en lo que es otra señal de que los actores de Qubitstrike buscan pasar desapercibidos.
Los orígenes exactos del actor de la amenaza aún no están claros, aunque la evidencia apunta a que probablemente sea Túnez debido a la dirección IP utilizada para iniciar sesión en el honeypot en la nube utilizando las credenciales robadas.
Un examen más detenido del repositorio de Codeberg también reveló un implante de Python (kdfs.py) que está diseñado para ejecutarse en hosts infectados, con Discord actuando como un mecanismo de comando y control (C2) para cargar y descargar desde y hacia la máquina. .
La conexión entre mi.sh y kdfs.py sigue siendo desconocida hasta el momento, aunque se sospecha que la puerta trasera de Python facilita la implementación del script de shell. También parece que mi.sh puede distribuirse como malware independiente sin depender de kdfs.py.
“Qubitstrike es una campaña de malware relativamente sofisticada, encabezada por atacantes con un enfoque particular en la explotación de servicios en la nube”, dijeron los investigadores.
“Por supuesto, el objetivo principal de Qubitstrike parece ser el secuestro de recursos con el fin de extraer la criptomoneda XMRig. A pesar de esto, el análisis de la infraestructura de Discord C2 muestra que, en realidad, cualquier ataque imaginable podría ser llevado a cabo por los operadores después de obtener acceso a estos hosts vulnerables.”