Хакеры из Туниса разоряют облачные сервисы: под ударом данные из Jupyter Notebook

Исследователи безопасности из ИБ-компании Cado Security обнаружили новую киберугрозу, исходящую, предположительно, из Туниса. Целью кампании, получившей название Qubitstrike, является атака на уязвимые экземпляры Jupyter Notebook для добычи криптовалюты и взлома облачных сред.

Основной инструментарий атаки включает в себя использование API Telegram для экспорта учетных данных Jupyter Notebooks после успешного взлома. Все вредоносные файлы для кампании Qubitstrike размещаются на платформе codeberg.org, альтернативе GitHub.

Технический анализ показал, что после взлома общедоступных экземпляров Jupyter, атакующие выполняют команды для извлечения shell-скрипта (mi.sh) с Codeberg. Скрипт отвечает за запуск майнера криптовалюты, установку постоянного соединения через задачу Cron, добавление SSH-ключа злоумышленника в файл «.ssh/authorized_keys» для удаленного доступа, и распространение вредоносного ПО на другие хосты через SSH.

Вредоносное ПО также устанавливает руткит Diamorphine для скрытия вредоносных процессов и передачи захваченных учетных данных Amazon Web Services (AWS) и Google Cloud через Telegram API.

Одним из примечательных моментов атаки является переименование законных утилит передачи данных, таких как curl и wget. Вероятно, это сделано с целью избежать обнаружения и ограничить доступ других пользователей к инструментам.

Скрипт mi.sh также перебирает заданный список имен процессов, завершая процессы других майнеров, которые могли ранее скомпрометировать систему. Кампания также включает использование команды netstat для прерывания сетевых соединений с IP-адресами, ранее связанными с кампаниями криптоджекинга. Атакующие также удаляют различные файлы журналов Linux, чтобы остаться незамеченными.

Точное происхождение угрозы неясно, но IP-адрес, использованный для входа в облачный ханипот (honeypot) с украденными учетными данными, указывает на Тунис.

Исследование репозитория Codeberg также выявило Python-имплант (kdfs.py), развёртывающийся на зараженных хостах с Discord в качестве механизма управления и контроля (Command and Control, C2). Связь между скриптом mi.sh и Python-имплантом kdfs.py пока неизвестна, но предполагается, что имплант предназначен для развертывания shell-скрипта.

Qubitstrike представляет собой относительно сложную кампанию по распространению вредоносного ПО с особым вниманием к эксплуатации облачных сервисов. Конечной целью Qubitstrike, как предположили специалисты, является захват ресурсов для майнинга криптовалюты XMRig. Тем не менее, анализ C2-инфраструктуры Discord показывает, что, на самом деле, после получения доступа к уязвимым хостам операторы могут осуществить любую возможную атаку.