Haker, vjerovatno iz Tunisa, povezan je s novom kampanjom koja cilja izložene Jupyter notebook računare u dvostrukom pokušaju ilegalnog rudarenja kriptovalute i proboja okruženja u oblaku.
Nazvan Qubitstrike od strane Cadoa, set za upad koristi Telegram API za eksfiltriranje kredencijala dobavljača usluga u oblaku nakon uspješnog kompromisa.
“Korisni tereti za Qubitstrike kampanju su smješteni na codeberg.org – alternativnoj Git hosting platformi, koja pruža većinu iste funkcionalnosti kao GitHub”, rekli su istraživači sigurnosti Matt Muir i Nate Bill u pisanju u srijedu.
U lancu napada koji je dokumentovala firma za sigurnost u oblaku, javno dostupne Jupyter instance su provaljene kako bi se izvršile naredbe za preuzimanje shell skripte (mi.sh) hostovane na Codebergu.
Shell skripta, koja djeluje kao primarni teret, odgovorna je za izvršavanje rudara kriptovalute, uspostavljanje postojanosti pomoću cron posla, umetanje ključa pod kontrolom napadača u datoteku .ssh/authorized_keys za daljinski pristup i propagiranje malvera na druge hostove putem SSH-a.
Malver takođe može preuzeti i instalirati Diamorphine rootkit za prikrivanje zlonamjernih procesa, kao i prenijeti uhvaćene Amazon Web Services (AWS) i Google Cloud kredencijale nazad napadaču putem Telegram bot API-ja.
Jedan aspekt napada vrijedan pažnje je preimenovanje legitimnih uslužnih programa za prijenos podataka kao što su curl i wget u vjerovatnom pokušaju da se izbjegne otkrivanje i spriječi drugi korisnici u sistemu da koriste alate.
“mi.sh će također iterirati kroz tvrdo kodiranu listu naziva procesa i pokušati ugasiti povezane procese”, rekli su istraživači. “Ovo će vjerovatno onemogućiti bilo kakve rudarske operacije konkurenata koji su možda ranije kompromitovali sistem.”
Shell skripta je dalje dizajnirana da iskoristi komandu netstat i tvrdo kodiranu listu parova IP/port, koji su prethodno bili povezani sa cryptojacking kampanjama, kako bi se uklonile sve postojeće mrežne veze s tim IP adresama.
Preduzeti su i koraci za brisanje raznih Linux log fajlova (npr. /var/log/secure i /var/log/wtmp), što je još jedan znak da Qubitstrike hakeri žele da prođu ispod radara.
Tačno porijeklo hakera ostaje nejasno, iako dokazi ukazuju na to da je to vjerovatno Tunis zbog IP adrese koja se koristi za prijavu na cloud honeypot koristeći ukradene kredencijale.
Detaljnije ispitivanje Codeberg repozitorija je takođe otkrilo Python implant (kdfs.py) koji je projektovan da se izvršava na zaraženim hostovima, pri čemu Discord deluje kao komandno-kontrolni (C2) mehanizam za učitavanje i preuzimanje sa i na mašinu.
Veza između mi.sh-a i kdfs.py je još uvijek nepoznata, iako se sumnja da Python backdoor olakšava implementaciju shell skripte. Takođe se čini da se mi.sh može isporučiti kao samostalni malver bez oslanjanja na kdfs.py.
“Qubitstrike je relativno sofisticirana malver kampanja, koju predvode hakeri s posebnim fokusom na eksploataciju usluga u oblaku”, rekli su istraživači.
“Naravno, čini se da je primarni cilj Qubitstrike-a otmica resursa u svrhu rudarenja kriptovalute XMRig. Uprkos tome, analiza Discord C2 infrastrukture pokazuje da bi, u stvarnosti, bilo koji zamislivi napad mogao biti izveden od strane operatera nakon osvajanja pristupa ovim ranjivim domaćinima.”
Izvor: The Hacker News
