Ordinateurs portables Jupyter visés par une campagne de minage de crypto-monnaie et de Rootkit

Baptisé Qubitstrike par Cado, l’ensemble d’intrusions utilise l’API Telegram pour exfiltrer les informations d’identification des fournisseurs de services en nuage après une compromission réussie.

« Les charges utiles de la campagne Qubitstrike sont toutes hébergées sur codeberg.org – une plateforme d’hébergement Git alternative, offrant la plupart des mêmes fonctionnalités que GitHub », ont déclaré les chercheurs en sécurité Matt Muir et Nate Bill dans un article publié mercredi.

Dans la chaîne d’attaque documentée par l’entreprise de sécurité en nuage, des instances Jupyter accessibles au public sont violées pour exécuter des commandes afin de récupérer un script shell (mi.sh) hébergé sur Codeberg.

Le script shell, qui sert de charge utile principale, est responsable de l’exécution d’un mineur de crypto-monnaie, de l’établissement de la persistance au moyen d’une tâche cron, de l’insertion d’une clé contrôlée par l’attaquant dans le fichier .ssh/authorized_keys pour l’accès à distance, et de la propagation du logiciel malveillant à d’autres hôtes via SSH.
Le logiciel malveillant est également capable de récupérer et d’installer le rootkit Diamorphine pour dissimuler les processus malveillants, ainsi que de transmettre les identifiants Amazon Web Services (AWS) et Google Cloud capturés à l’attaquant par le biais de l’API Telegram bot. Un aspect remarquable des attaques est le renommage d’utilitaires légitimes de transfert de données tels que curl et wget, dans une tentative probable d’échapper à la détection et d’empêcher d’autres utilisateurs du système d’utiliser les outils. « mi.sh parcourt également une liste codée en dur de noms de processus et tente de tuer les processus associés, ce qui devrait permettre de contrecarrer les opérations de minage menées par des concurrents qui ont pu compromettre le système auparavant. Le script shell est également conçu pour exploiter la commandeetstat et une liste codée en dur de paires IP/port, précédemment associées à des campagnes de cryptojacking, afin de tuer toutes les connexions réseau existantes vers ces adresses IP. Des mesures ont également été prises pour supprimer divers fichiers journaux Linux (par exemple, /var/log/secure et /var/log/secure)./var/log/secure et /var/log/wtmp),Les origines exactes de l’acteur de la menace restent floues, bien que les preuves indiquent qu’il s’agit probablement de la Tunisie en raison de l’adresse IP utilisée pour se connecter à un honeypot cloud à l’aide d’informations d’identification volées. Un examen plus approfondi du dépôt de Codeberg a également révélé un implant Python (kdfs py) conçu pour être exécuté sur les hôtes infectés, Discord agissant en tant que mécanisme de commande et de contrôle (C2).Le lien entre mi sh et kdfs py reste inconnu, mais on soupçonne que la porte dérobée Python facilite le déploiement du script shell Il semble également que mi sh puisse être diffusé en tant que logiciel malveillant autonome sans s’appuyer sur kdfs py « Qubitstrike est une campagne de logiciels malveillants relativement sophistiquée menée par des attaquants qui se concentrent particulièrement sur l’exploitation des services cloud », ont déclaré les chercheurs « Il est évident que les logiciels malveillants ne sont pas les seuls à avoir un impact sur la sécurité. Bien entendu, l’objectif principal de Qubitstrike semble être le détournement de ressources, le piratage et l’exploitation de la crypto-monnaie XMRig. Malgré cette analyse, l’infrastructure C2 de Discord montre qu’en réalité, toute attaque concevable pourrait être menée par des opérateurs après avoir obtenu l’accès à ces hôtes vulnérables.