{"id":1004127,"date":"2023-10-18T18:34:46","date_gmt":"2023-10-18T18:34:46","guid":{"rendered":"https:\/\/teknomers.com\/es\/qubitstrike-apunta-a-los-portatiles-jupyter-con-una-campana-de-criptomineria-y-rootkit\/"},"modified":"2023-10-18T18:34:50","modified_gmt":"2023-10-18T18:34:50","slug":"qubitstrike-apunta-a-los-portatiles-jupyter-con-una-campana-de-criptomineria-y-rootkit","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/qubitstrike-apunta-a-los-portatiles-jupyter-con-una-campana-de-criptomineria-y-rootkit\/","title":{"rendered":"Qubitstrike apunta a los port\u00e1tiles Jupyter con una campa\u00f1a de criptominer\u00eda y rootkit"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>18 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Rootkit \/ Criptomoneda<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un actor de amenazas, presumiblemente de T\u00fanez, ha sido vinculado a una nueva campa\u00f1a dirigida a los Jupyter Notebooks expuestos en un doble intento de extraer criptomonedas il\u00edcitamente y violar entornos de nube.<\/p>\n

Apodado ataque qubit<\/strong> Por Cado, el conjunto de intrusi\u00f3n utiliza la API de Telegram para filtrar las credenciales del proveedor de servicios en la nube luego de un compromiso exitoso.<\/p>\n

“Todas las cargas \u00fatiles para la campa\u00f1a Qubitstrike est\u00e1n alojadas en codeberg.org, una plataforma de alojamiento Git alternativa, que proporciona gran parte de la misma funcionalidad que GitHub”, dijeron los investigadores de seguridad Matt Muir y Nate Bill. dicho<\/a> en un art\u00edculo del mi\u00e9rcoles.<\/p>\n

En la cadena de ataque documentada por la empresa de seguridad en la nube, se violan instancias de Jupyter de acceso p\u00fablico para ejecutar comandos para recuperar un script de shell (mi.sh) alojado en Codeberg.<\/p>\n

\"La<\/a><\/center><\/div>\n

El script de shell, que act\u00faa como carga \u00fatil principal, es responsable de ejecutar un minero de criptomonedas, establecer la persistencia mediante un trabajo cron, insertar una clave controlada por el atacante en el archivo .ssh\/authorized_keys para acceso remoto y propagar el malware a otros hosts a trav\u00e9s de SSH.<\/p>\n

El malware tambi\u00e9n es capaz de recuperar e instalar el rootkit Dimorphine para ocultar procesos maliciosos, as\u00ed como transmitir las credenciales capturadas de Amazon Web Services (AWS) y Google Cloud al atacante a trav\u00e9s de la API del bot de Telegram.<\/p>\n

Un aspecto digno de menci\u00f3n de los ataques es el cambio de nombre de utilidades leg\u00edtimas de transferencia de datos, como curl y wget, en un probable intento de evadir la detecci\u00f3n y evitar que otros usuarios del sistema utilicen las herramientas.<\/p>\n

“mi.sh tambi\u00e9n iterar\u00e1 a trav\u00e9s de una lista codificada de nombres de procesos e intentar\u00e1 eliminar los procesos asociados”, dijeron los investigadores. “Es probable que esto frustre cualquier operaci\u00f3n minera de competidores que previamente hayan comprometido el sistema”.<\/p>\n

\"Campa\u00f1a<\/a><\/div>\n

El script de shell est\u00e1 dise\u00f1ado adem\u00e1s para aprovechar el comando netstat y una lista codificada de pares de IP\/puerto, previamente asociados con campa\u00f1as de criptojacking, para eliminar cualquier conexi\u00f3n de red existente a esas direcciones IP.<\/p>\n

Tambi\u00e9n se han tomado medidas para eliminar varios archivos de registro de Linux (por ejemplo, \/var\/log\/secure y \/var\/log\/wtmp), en lo que es otra se\u00f1al de que los actores de Qubitstrike buscan pasar desapercibidos.<\/p>\n

Los or\u00edgenes exactos del actor de la amenaza a\u00fan no est\u00e1n claros, aunque la evidencia apunta a que probablemente sea T\u00fanez debido a la direcci\u00f3n IP utilizada para iniciar sesi\u00f3n en el honeypot en la nube utilizando las credenciales robadas.<\/p>\n

\"La<\/a><\/center><\/div>\n

Un examen m\u00e1s detenido del repositorio de Codeberg tambi\u00e9n revel\u00f3 un implante de Python (kdfs.py) que est\u00e1 dise\u00f1ado para ejecutarse en hosts infectados, con Discord actuando como un mecanismo de comando y control (C2) para cargar y descargar desde y hacia la m\u00e1quina. .<\/p>\n

La conexi\u00f3n entre mi.sh y kdfs.py sigue siendo desconocida hasta el momento, aunque se sospecha que la puerta trasera de Python facilita la implementaci\u00f3n del script de shell. Tambi\u00e9n parece que mi.sh puede distribuirse como malware independiente sin depender de kdfs.py.<\/p>\n

“Qubitstrike es una campa\u00f1a de malware relativamente sofisticada, encabezada por atacantes con un enfoque particular en la explotaci\u00f3n de servicios en la nube”, dijeron los investigadores.<\/p>\n

“Por supuesto, el objetivo principal de Qubitstrike parece ser el secuestro de recursos con el fin de extraer la criptomoneda XMRig. A pesar de esto, el an\u00e1lisis de la infraestructura de Discord C2 muestra que, en realidad, cualquier ataque imaginable podr\u00eda ser llevado a cabo por los operadores despu\u00e9s de obtener acceso a estos hosts vulnerables.”<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n