Нова кампанія показує здібності хакерів щодо приховання та встановлення контролю над системою.

Дослідники безпеки з ІБ-компанії Cado Security виявили нову кіберзагрозу, що виходить, ймовірно, з Тунісу. Метою кампанії, що отримала назву Qubitstrike, є атака на вразливі екземпляри Jupyter Notebook для видобутку криптовалюти та злому хмарного середовища.

Основний інструментарій атаки включає використання API Telegram для експорту облікових даних Jupyter Notebooks після успішного злому. Усі шкідливі файли для кампанії Qubitstrike розміщуються на платформі codeberg.org, альтернативі GitHub.

Технічний аналіз показав, що після злому загальнодоступних екземплярів Jupyter, атакуючі виконують команди для отримання shell-скрипту (mi.sh) з Codeberg. Скрипт відповідає за запуск майнера криптовалюти, встановлення постійного з’єднання через завдання Cron, додавання SSH-ключа зловмисника у файл «.ssh/authorized_keys» для віддаленого доступу, та розповсюдження шкідливого програмного забезпечення на інші хости через SSH.

Шкідливе ПЗ також встановлює руткіт Diamorphine для приховання шкідливих процесів та передачі захоплених облікових даних Amazon Web Services ( AWS ) та Google Cloud через Telegram API.

Одним із примітних моментів атаки є перейменування законних утиліт передачі даних, таких як curl та wget. Ймовірно, це зроблено з метою уникнути виявлення та обмежити доступ інших користувачів до інструментів.

Скрипт mi.sh також перебирає заданий список імен процесів, завершуючи інші майнери, які могли раніше скомпрометувати систему. Компанія також включає використання команди netstat для переривання мережевих з’єднань з IP-адресами, які раніше пов’язані з кампаніями криптоджекінгу. Атакуючі також видаляють різні файли журналів Linux, щоб залишитися непоміченими.

Точне походження загрози неясно, але IP-адреса, використана для входу в хмарний ханіпот (honeypot) із вкраденими обліковими даними, вказує на Туніс.

Дослідження репозиторію Codeberg також виявило Python-імплант (kdfs.py), що розгортається на заражених хостах з Discord як механізм управління та контролю (Command and Control, C2 ). Зв’язок між скриптом mi.sh і Python-імплантом kdfs.py поки невідомий, але передбачається, що імплант призначений для розгортання shell-скрипту.

Qubitstrike є відносно складною кампанією з поширення шкідливого ПЗ з особливою увагою до експлуатації хмарних сервісів. Кінцевою метою Qubitstrike, як припустили фахівці, є захоплення ресурсів для майнінгу криптовалюти XMRig . Проте, аналіз C2-інфраструктури Discord показує, що насправді після отримання доступу до вразливих хостів оператори можуть здійснити будь-яку можливу атаку.