La campaña de ataque descubierta por investigadores de Cado Security, una empresa especializada en análisis forense de la nube y respuesta a incidentes, compromete instancias de Jupyter Notebook e implementa malware de criptojacking. Esta operación maliciosa utiliza un servidor Discord con fines de C&C (comando y control) y el robo de credenciales de AWS y Google Cloud de servidores comprometidos. "La campaña de malware Qubitstrike es relativamente sofisticada y se centra particularmente en explotar los servicios en la nube", explicaron los investigadores. en su informe. "Las instancias de Jupyter Notebooks se implementan comúnmente en entornos de nube, y proveedores como Google y AWS las ofrecen como servicios administrados". Jupyter Notebook es una plataforma informática dinámica basada en web que admite más de 40 lenguajes de programación y se utiliza para visualización de datos, aprendizaje automático, transformaciones de datos, simulaciones numéricas, modelado estadístico y gestión de otros resultados de cálculo. Es una aplicación de código abierto que se puede implementar en servidores y se ha utilizado como punto de entrada para otras campañas de ataques basadas en la nube durante el año pasado, ya que expone potentes funciones, incluida la ejecución de comandos.

Cado Security pudo ver a los atacantes de Qubitstrike conectarse a sus honeypots Jupyter Notebook intencionalmente desprotegidos y aprovechar la función de acceso al terminal para abrir una interfaz de línea de comandos Bash. Pero también ejecute manualmente una serie de comandos de reconocimiento para recopilar información sobre el procesador del sistema, el usuario que ha iniciado sesión actualmente y ver si el acceso de root estaba disponible a través del comando. saber y si se instaló la herramienta curl. Al final de ese estreno, ejecutaron un comando codificado en base64 usando curl para descargar un script Bash llamado mi.sh desde una cuenta en codeberg.org, una plataforma de alojamiento Git similar a GitHub. Finalmente, el script se guardó en una carpeta temporal, luego se ejecutó y finalmente se eliminó.

Índice
  1. Malware configurado para persistir
  2. Otros implantes descubiertos en el repositorio de Codeberg

Malware configurado para persistir

El script mi.sh configura el sistema para la implementación de herramientas adicionales, en particular una versión del programa de minería de criptomonedas XMRig. Primero, el script cambia el nombre de las utilidades curl y wget en el sistema para evitar activar detecciones del sistema. También escanea los procesos en ejecución en busca de criptomineros competidores y los elimina, así como conexiones a una lista codificada de direcciones IP asociadas con las operaciones de minería de criptomonedas. El script también elimina varios registros del sistema y aplica la persistencia en el sistema al registrar múltiples trabajos cron y agregar la clave SSH del atacante al sistema. Más importante aún, descarga e implementa un rootkit llamado Dimorphine. Este rootkit funciona como un módulo del kernel cargado con el comando insmod y cuyo objetivo es ocultar los procesos del atacante en el sistema.

Si el comando insmod falla, los atacantes compilan Dimorphine desde el código fuente como un archivo de objeto compartido de Linux y luego usan la técnica de carga previa de LD para registrarlo con el vinculador dinámico, lo que resulta en la ejecución del archivo malicioso cada vez que se inicia un nuevo ejecutable en el sistema. “El rootkit Dimorphine es bien conocido en los círculos de malware de Linux. Se ha observado en las campañas de TeamTNT y, más recientemente, en Kiss-a-dog”, dijeron los investigadores de Cado. “La compilación de malware en el momento de la entrega es común y se utiliza para evadir EDR y otros mecanismos de detección. Finalmente, el script mi.sh busca en directorios locales tokens de acceso a AWS y Google Cloud y extrae los encontrados a un grupo de Telegram. Los investigadores de Cado colocaron intencionalmente un token de AWS en su sistema honeypot e inmediatamente observaron un intento de usar el token para acceder a la cuenta de AWS asociada. Qubitstrike también actúa como un trabajo SSH, con el script intentando conectarse a todas las direcciones IP enumeradas en el archivo de hosts SSH del sistema e intentando enviarles el script mi.sh.

Otros implantes descubiertos en el repositorio de Codeberg

Mientras investigaban el repositorio de Codeberg que alojaba el script mi.sh, los investigadores descubrieron otros scripts y cargas útiles, incluido un implante escrito en Python llamado kdfs.py. Cuando se ejecuta en un sistema, este implante actúa como un bot que se une a un servidor y a un canal de Discord y espera comandos. También te permite cargar y enviar archivos a través de la función de archivos adjuntos de Discord. El nombre del servidor utilizado es “NETShadow” y el canal al que se conecta el bot se llama “víctimas””, explicaron los investigadores. “El servidor también tenía otro canal llamado “ssh”. Sin embargo, estaba vacío. Todos los canales se crearon exactamente al mismo tiempo, el 2 de septiembre de 2023, lo que sugiere que el proceso de creación fue automatizado. El nombre de usuario del bot es Qubitstrike (de ahí el nombre que elegimos para darle al malware)”.

Los investigadores de Cado especulan que el archivo kdfs.py podría ejecutarse en algunos sistemas antes de usarse para implementar mi.sh. Sin embargo, el bot kdfs.py nunca se implementó en el sistema honeypot. Si el objetivo final del ataque era implementar un minero XMRig en los sistemas comprometidos, el acceso de los atacantes obviamente no se limita a eso y también podrían adoptar otras tácticas. "Cado recomienda encarecidamente a los lectores que implementen portátiles Jupyter que revisen la seguridad de los servidores Jupyter, prestando especial atención a las configuraciones del firewall y del grupo de seguridad", dijeron los investigadores. “Lo ideal sería que los portátiles no estuvieran expuestos a la red pública de Internet. Si es necesario exponerlos, asegúrese de que no se haya habilitado la autenticación para estos portátiles”.