Ataques Qubitstrike em rootkit de servidores Linux Jupyter para roubar credenciais
18 de Outubro de 2023

Hackers estão vasculhando a internet em busca de Jupyter Notebooks expostos para violar servidores e implantar um coquetel de malware composto por um rootkit de Linux, criptomineradores e scripts de furto de senhas.

Jupyter Notebooks são ambientes de computação interativa de código aberto para análise de dados, aprendizado de máquina e pesquisa científica.

Esta plataforma foi recentemente alvejada por outro malware chamado 'PyLoose', levando também à implementação do minerador XMRRig no contêiner subjacente.

Em uma nova campanha chamada 'Qubitstrike', os atores da ameaça baixam cargas maliciosas para sequestrar um servidor Linux para mineração de criptomoedas e roubar credenciais de serviços na nuvem, como AWS e Google Cloud.

Como o Cado Research relata hoje, as cargas úteis de malware do Qubitstrike estão hospedadas em codeberg.org, marcando a primeira instância dessa plataforma sendo abusada para distribuição de malware.

Acredita-se que os ataques do Qubitstrike começam com uma varredura manual de cadernos Jupyter expostos, seguida por uma identificação de CPU para avaliar seu potencial de mineração.

Os invasores procuram por arquivos de credenciais que possam roubar e baixar e executar um script ('mi.sh') usando um comando codificado em base64.

O script é responsável pela maior parte da atividade maliciosa em um servidor Linux comprometido, incluindo o que segue:

- Baixar e executar um minerador XMRig disfarçado de "python-dev"
- Configurar quatro tarefas cron (apache2, apache2.2, netns, netns2) para a persistência do minerador e do script
- Inserir uma chave SSH controlada pelo atacante para acesso raiz persistente
- Instalar o rootkit 'Diamorphine' LKM (módulo do kernel carregável) que ajuda a ocultar processos específicos das ferramentas de monitoramento
- Roubar credenciais do endpoint violado e espalhar via SSH

O Cado relata que o mi.sh também executa alguns passos de otimização de ataque usando um componente adicional chamado "kthreadd", como detectar mineradores concorrentes na lista de processos em execução e matá-los e usar a utilidade 'netstat' para cortar conexões com IPs sinalizados para cryptojacking.

Para encobrir os rastros do atacante, utilitários de transferência de dados como 'curl' e 'wget' são renomeados, e os arquivos de log contendo evidências da violação são apagados do sistema usando uma função personalizada ('log_f').

Os scripts Qubitstrike também instalam o rootkit de código aberto Diamorphine para Linux, que é usado para ocultar a presença de quaisquer scripts e cargas úteis de malware em execução.

"Diamorphine é bem conhecida nos círculos de malware Linux, com o rootkit sendo observado em campanhas da TeamTNT e, mais recentemente, Kiss-a-dog", explica o relatório do Cado.

"Compilar o malware na entrega é comum e é usado para evadir os EDRs e outros mecanismos de detecção."

Qubitstrike procura credenciais no endpoint comprometido e as envia de volta para seus operadores usando o Telegram Bot API.

Especificamente, o malware percorre uma lista de 23 diretórios que geralmente hospedam credenciais para arquivos chamados "credentials", "cloud", "kyber-env" e outros.

Qualquer credencial encontrada lá é armazenada em um arquivo temporário em "/tmp/creds", enviada para o bot do Telegram e, eventualmente, excluída.

O Cado descobriu que o bot ligado à exfiltração de credenciais está ligado a um bate-papo privado com um usuário chamado "z4r0u1".

Além disso, os pesquisadores descobriram que o endereço IP do atacante os coloca na Tunísia, enquanto o agente do usuário mostra o uso do Kali Linux.

A análise do repositório do atacante no Codeberg revelou outro script chamado 'kdfs.py', que utiliza um bot do Discord para operações de comando e controle (C2) usando um token multi-ofuscado.

O script pode funcionar como um executável autônomo, enviando uma mensagem a um canal Discord predefinido para enviar informações do host e então esperar comandos para executar.

O implante também abusa do Discord para exfiltração de dados.

O token incorporado expôs o apelido do atacante, 'BlackSUN', o servidor Discord, 'NETShadow', e os canais contidos chamados 'vítimas' e 'ssh', o que não deixa dúvidas sobre a natureza do espaço, criado em 2 de setembro de 2023.

Embora o implante kdfs.py nunca tenha sido implantado nos honeypots do Cado, os pesquisadores sugerem que é um precursor do script mi.sh.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...