Los piratas informáticos están escaneando en busca de Jupyter Notebooks expuestos a Internet para violar los servidores y desplegar un cóctel de malware que consiste en un rootkit de Linux, mineros criptográficos y scripts de robo de contraseñas.
Jupyter Notebooks son entornos informáticos interactivos de código abierto para el análisis de datos, el aprendizaje automático y la investigación científica. Esta plataforma fue atacada recientemente por otro malware llamado ‘PyLoose’, que también llevó a la implementación del minero XMRRig en el contenedor subyacente.
En una nueva campaña llamada ‘Qubitstrike’, los actores de amenazas descargan cargas útiles maliciosas para secuestrar un servidor Linux para la criptominería y robar credenciales de servicios en la nube, como AWS y Google Cloud.
Como informa hoy Cado Research, las cargas útiles del malware Qubitstrike están alojadas en lo que marca la primera vez que se abusa de esta plataforma para la distribución de malware.
Secuestro de Linux con Qubitstrike.
Se cree que los ataques de Qubitstrike comienzan con un escaneo manual de Jupyter Notebooks expuestos, seguido de una identificación de la CPU para evaluar su potencial de minería.
Los atacantes buscan archivos de credenciales que pueden robar y descargar y ejecutar un script (‘mi.sh’) utilizando un comando codificado en base64.
El script es responsable de la mayor parte de la actividad maliciosa en un servidor Linux comprometido, incluidos los siguientes:
- Descargue y ejecute un minero XMRig disfrazado de «python-dev»
- Configure cuatro trabajos cron (apache2, apache2.2, netns, netns2) para la persistencia del minero y del script
- Inserte una clave SSH controlada por el atacante para el acceso raíz persistente
- Instale el rootkit LKM (módulo de kernel cargable) ‘Diamorphine’ que ayuda a ocultar procesos específicos de las herramientas de monitoreo
- Robar credenciales del endpoint vulnerado y propagarlas a través de SSH
Cado informa que también realiza algunos pasos de optimización de ataques utilizando un componente adicional llamado «kthreadd», como detectar mineros competidores en la lista de procesos en ejecución y eliminarlos y usar la utilidad ‘netstat’ para cerrar las conexiones a las IP marcadas para cryptojacking.
Para cubrir los rastros del atacante, se cambia el nombre de las utilidades de transferencia de datos como ‘curl’ y ‘wget’, y los archivos de registro que contienen evidencia de la violación se borran del sistema mediante una función personalizada (‘log_f’).
Los scripts de Qubitstrike también instalan el rootkit de código abierto Diamorphine para Linux, que se utiliza para ocultar la presencia de scripts en ejecución y cargas útiles de malware.
«La diamorfina es bien conocida en los círculos de malware de Linux, y el rootkit se ha observado en campañas de TeamTNT y, más recientemente, Kiss-a-dog», explica el informe de Cado.
«La compilación del malware en el momento de la entrega es común y se utiliza para evadir los EDR y otros mecanismos de detección».
Robo de credenciales.
Qubitstrike busca credenciales en el endpoint comprometido y las envía de vuelta a sus operadores mediante la API de Telegram Bot.
Específicamente, el malware itera a través de una lista de 23 directorios que generalmente alojan credenciales para archivos llamados «credenciales», «nube», «kyber-env» y otros.
Las credenciales que se encuentran allí se almacenan en un archivo temporal en «/tmp/creds», se envían al bot de Telegram y, finalmente, se eliminan.
Cado ha descubierto que el bot vinculado a la exfiltración de credenciales está vinculado a un chat privado con un usuario llamado «z4r0u1». Además, los investigadores encontraron que la dirección IP del atacante los ubica en Túnez, mientras que el agente de usuario muestra el uso de Kali Linux.
Usar Discord como C2.
Al examinar el repositorio del atacante en Codeberg, se reveló otro script llamado ‘kdfs.py’, que utiliza un bot de Discord para operaciones de comando y control (C2) utilizando un token multiofuscado.
El script puede ejecutarse como un ejecutable independiente, enviando mensajes a un canal de Discord codificado para enviar información del host y luego esperar a que se ejecuten los comandos. El implante también abusa de Discord para la exfiltración de datos.
El token incrustado expuso el apodo del atacante, ‘BlackSUN’, el servidor de Discord, ‘NETShadow’ y los canales contenidos llamados ‘víctimas’ y ‘ssh’, que dejan pocas dudas sobre la naturaleza del espacio, creado el 2 de septiembre de 2023.
Fuente y redacción: underc0de.org
