Qubitstrike apunta a Jupyter Notebooks con una campaña de minería

Un actor de amenazas, presumiblemente de Túnez, ha sido vinculado a una nueva campaña dirigida a Jupyter Notebooks expuestos en un doble intento de minar ilícitamente criptomonedas y violar entornos en la nube.

Apodado Qubitstrike por Cado, el conjunto de intrusión utiliza la API de Telegram para filtrar las credenciales del proveedor de servicios en la nube después de un compromiso exitoso.

"Las cargas útiles para la campaña Qubitstrike están alojadas en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, una plataforma alternativa de alojamiento de Git, que proporciona gran parte de la misma funcionalidad que GitHub", dijeron los investigadores de seguridad Matt Muir y Nate Bill en un artículo del miércoles.

En la cadena de ataque documentada por la empresa de seguridad en la nube, las instancias de Jupyter de acceso público se vulneran para ejecutar comandos para recuperar un script de shell (mi.sh) alojado en Codeberg.

El script de shell, que actúa como carga útil principal, es responsable de ejecutar un minero de criptomonedas, establecer la persistencia por medio de un cron job, insertar una clave controlada por el atacante en el archivo .ssh/authorized_keys para el acceso remoto y propagar el malware a otros hosts a través de SSH.

El malware también es capaz de recuperar e instalar el rootkit Diamorphine para ocultar procesos maliciosos, así como transmitir las credenciales capturadas de Amazon Web Services (AWS) y Google Cloud al atacante a través de la API del bot de Telegram.

Un aspecto digno de mención de los ataques es el cambio de nombre de utilidades legítimas de transferencia de datos como curl y wget en un probable intento de evadir la detección y evitar que otros usuarios del sistema utilicen las herramientas.

"mi.sh también iterará a través de una lista codificada de nombres de procesos e intentará matar los procesos asociados", dijeron los investigadores. "Es probable que esto frustre cualquier operación minera por parte de competidores que puedan haber comprometido previamente el sistema".


El script de shell está diseñado además para aprovechar el comando netstat y una lista codificada de pares IP/puerto, previamente asociados con campañas de cryptojacking, para eliminar cualquier conexión de red existente a esas direcciones IP.

También se han tomado medidas para eliminar varios archivos de registro de Linux (por ejemplo, /var/log/secure y /var/log/wtmp), en lo que es otra señal de que los actores de Qubitstrike están buscando pasar desapercibidos.

Los orígenes exactos del actor de amenazas siguen sin estar claros, aunque la evidencia apunta a que probablemente sea Túnez debido a la dirección IP utilizada para iniciar sesión en el honeypot en la nube utilizando las credenciales robadas.

Un examen más detallado del repositorio de Codeberg también ha revelado un implante de Python (kdfs.py) que está diseñado para ejecutarse en hosts infectados, con Discord actuando como un mecanismo de comando y control (C2) para cargar y descargar desde y hacia la máquina.

La conexión entre No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta sigue siendo desconocida hasta el momento, aunque se sospecha que la puerta trasera de Python facilita el despliegue del script de shell. También parece que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta se puede entregar como un malware independiente sin depender de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

"Qubitstrike es una campaña de malware relativamente sofisticada, encabezada por atacantes con un enfoque particular en la explotación de servicios en la nube", dijeron los investigadores.

"Por supuesto, el objetivo principal de Qubitstrike parece ser el secuestro de recursos con el fin de minar la criptomoneda XMRig. A pesar de esto, el análisis de la infraestructura de Discord C2 muestra que, en realidad, cualquier ataque concebible podría ser llevado a cabo por los operadores después de obtener acceso a estos hosts vulnerables".

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta