Qubitstrike, Kripto Madenciliği ve Rootkit Kampanyası ile Jupyter Notebook'ları Hedefliyor

Muhtemelen Tunus'tan bir tehdit aktörü, yasa dışı olarak kripto para madenciliği yapmak ve bulut ortamlarını ihlal etmek için iki katlı bir girişimde bulunan Jupyter Notebooks'u hedef alan yeni bir kampanyayla ilişkilendirildi.

Cado tarafından Qubitstrike olarak adlandırılan saldırı seti, başarılı bir uzlaşmanın ardından bulut hizmeti sağlayıcı kimlik bilgilerini sızdırmak için Telegram API'sini kullanıyor.

Güvenlik araştırmacıları Matt Muir ve Nate Bill, çarşamba günkü yazılarında, "Qubitstrike kampanyasının yüklerinin tümü, GitHub ile aynı işlevselliğin çoğunu sağlayan alternatif bir Git barındırma platformu olan codeberg.org'da barındırılıyor" dedi.

Bulut güvenlik firması tarafından belgelenen saldırı zincirinde, Codeberg'de barındırılan bir kabuk betiğini (mi.sh) almak için komutlar yürütmek üzere genel olarak erişilebilen Jupyter örnekleri ihlal edilir.

Birincil yük görevi gören kabuk komut dosyası, bir kripto para madencisini yürütmekten, bir cron işi aracılığıyla kalıcılık sağlamaktan, uzaktan erişim için .ssh/authorized_keys dosyasına saldırgan tarafından kontrol edilen bir anahtar eklemekten ve kötü amaçlı yazılımı SSH aracılığıyla diğer ana bilgisayarlara yaymaktan sorumludur.

Kötü amaçlı yazılım ayrıca, kötü amaçlı işlemleri gizlemek için Diamorphine rootkit'i alıp yükleyebilir ve ayrıca yakalanan Amazon Web Services (AWS) ve Google Cloud kimlik bilgilerini Telegram bot API'si aracılığıyla saldırgana geri iletebilir.

Saldırıların dikkate değer bir yönü, curl ve wget gibi meşru veri aktarım yardımcı programlarının, tespit edilmekten kaçınmak ve sistemdeki diğer kullanıcıların araçları kullanmasını engellemek için olası bir girişimde yeniden adlandırılmasıdır.

Araştırmacılar, "mi.sh ayrıca kodlanmış bir süreç adları listesini yineleyecek ve ilişkili süreçleri öldürmeye çalışacak" dedi. "Bunun, daha önce sistemi tehlikeye atmış olabilecek rakiplerin herhangi bir madencilik operasyonunu engellemesi muhtemeldir."

Kabuk komut dosyası ayrıca, bu IP adreslerine yönelik mevcut ağ bağlantılarını kesmek için netstat komutundan ve daha önce cryptojacking kampanyalarıyla ilişkilendirilmiş sabit kodlanmış bir IP/bağlantı noktası çiftleri listesinden yararlanmak üzere tasarlanmıştır.

Ayrıca, Qubitstrike aktörlerinin radarın altında uçmak istediğinin bir başka işareti olan çeşitli Linux günlük dosyalarını (örneğin, /var/log/secure ve /var/log/wtmp) silmek için adımlar atıldı.

Tehdit aktörünün kesin kökenleri belirsizliğini koruyor, ancak kanıtlar, çalınan kimlik bilgilerini kullanarak bulut balküpüne giriş yapmak için kullanılan IP adresi nedeniyle muhtemelen Tunus olduğuna işaret ediyor.

Codeberg deposunun daha yakından incelenmesi, virüslü ana bilgisayarlarda yürütülmek üzere tasarlanmış bir Python implantını (kdfs.py) da ortaya çıkardı ve Discord, makineden ve makineye yüklemek ve indirmek için bir komut ve kontrol (C2) mekanizması görevi gördü.

mi.sh ve kdfs.py arasındaki bağlantı henüz bilinmiyor, ancak Python arka kapısının kabuk betiğinin dağıtımını kolaylaştırdığından şüpheleniliyor. Ayrıca, mi.sh'nin kdfs.py güvenmeden bağımsız bir kötü amaçlı yazılım olarak sunulabileceği de görülüyor.

Araştırmacılar, "Qubitstrike, özellikle bulut hizmetlerinin sömürülmesine odaklanan saldırganların öncülük ettiği nispeten karmaşık bir kötü amaçlı yazılım kampanyasıdır" dedi.

"Elbette, Qubitstrike'ın birincil amacı, XMRig kripto para biriminin madenciliği amacıyla kaynak kaçırmak gibi görünüyor. Buna rağmen, Discord C2 altyapısının analizi, gerçekte, bu savunmasız ana bilgisayarlara erişim sağladıktan sonra operatörler tarafından akla gelebilecek herhangi bir saldırının gerçekleştirilebileceğini gösteriyor."

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği