Un acteur malveillant, vraisemblablement originaire de Tunisie, a été associé à une nouvelle campagne ciblant les ordinateurs portables Jupyter exposés dans une double tentative d’exploitation illicite de crypto-monnaie et de violation des environnements cloud.
Doublé Frappe Qubit par Cado, l’ensemble d’intrusion utilise l’API Telegram pour exfiltrer les informations d’identification du fournisseur de services cloud après une compromission réussie.
« Les charges utiles de la campagne Qubitstrike sont toutes hébergées sur codeberg.org – une plate-forme d’hébergement Git alternative, offrant en grande partie les mêmes fonctionnalités que GitHub », chercheurs en sécurité Matt Muir et Nate Bill. dit dans un article de mercredi.
Dans la chaîne d’attaque documentée par la société de sécurité cloud, des instances Jupyter accessibles au public sont violées pour exécuter des commandes permettant de récupérer un script shell (mi.sh) hébergé sur Codeberg.
Le script shell, qui fait office de charge utile principale, est chargé d’exécuter un mineur de cryptomonnaie, d’établir la persistance au moyen d’une tâche cron, d’insérer une clé contrôlée par l’attaquant dans le fichier .ssh/authorized_keys pour un accès à distance et de propager le malware vers d’autres hôtes via SSH.
Le malware est également capable de récupérer et d’installer le rootkit Diamorphine pour dissimuler les processus malveillants ainsi que de transmettre les informations d’identification Amazon Web Services (AWS) et Google Cloud capturées à l’attaquant via l’API du bot Telegram.
Un aspect remarquable des attaques est le changement de nom d’utilitaires de transfert de données légitimes tels que curl et wget dans le but probable d’échapper à la détection et d’empêcher les autres utilisateurs du système d’utiliser ces outils.
« mi.sh parcourra également une liste codée en dur de noms de processus et tentera de tuer les processus associés », ont indiqué les chercheurs. « Cela risque de contrecarrer toute opération minière de la part de concurrents qui auraient pu auparavant compromettre le système. »
Le script shell est en outre conçu pour exploiter la commande netstat et une liste codée en dur de paires IP/port, précédemment associées aux campagnes de cryptojacking, afin de supprimer toutes les connexions réseau existantes à ces adresses IP.
Des mesures ont également été prises pour supprimer divers fichiers journaux Linux (par exemple, /var/log/secure et /var/log/wtmp), ce qui est un autre signe que les acteurs de Qubitstrike cherchent à passer inaperçus.
Les origines exactes de l’auteur de la menace restent floues, même si des preuves indiquent qu’il s’agit probablement de la Tunisie en raison de l’adresse IP utilisée pour se connecter au pot de miel cloud à l’aide des informations d’identification volées.
Un examen plus approfondi du référentiel Codeberg a également révélé un implant Python (kdfs.py) conçu pour être exécuté sur des hôtes infectés, Discord agissant comme un mécanisme de commande et de contrôle (C2) pour télécharger depuis et vers la machine. .
La connexion entre mi.sh et kdfs.py reste encore inconnue, même si l’on soupçonne que la porte dérobée Python facilite le déploiement du script shell. Il semble également que mi.sh puisse être diffusé en tant que malware autonome sans recourir à kdfs.py.
« Qubitstrike est une campagne de malware relativement sophistiquée, menée par des attaquants qui se concentrent particulièrement sur l’exploitation des services cloud », ont expliqué les chercheurs.
« Bien entendu, l’objectif principal de Qubitstrike semble être le détournement de ressources dans le but d’exploiter la crypto-monnaie XMRig. Malgré cela, l’analyse de l’infrastructure Discord C2 montre qu’en réalité, toute attaque imaginable pourrait être menée par les opérateurs après avoir obtenu accès à ces hôtes vulnérables.