Cyberthreat.id - Aktor ancaman, mungkin dari Tunisia, telah dikaitkan dengan kampanye baru yang menargetkan Jupyter Notebooks yang terekspos dalam upaya ganda untuk menambang mata uang kripto secara ilegal dan melanggar lingkungan cloud.

Dijuluki Qubitstrike oleh Cado, set intrusi menggunakan API Telegram untuk mengekstrak kredensial penyedia layanan cloud setelah kompromi berhasil.

“Muatan untuk kampanye Qubitstrike semuanya dihosting di codeberg.org – sebuah platform hosting Git alternatif, yang menyediakan banyak fungsi yang sama seperti GitHub,” kata peneliti keamanan Matt Muir dan Nate Bill dalam tulisannya pada hari Rabu sebagaimana dikutip The Hacker News.

Dalam rantai serangan yang didokumentasikan oleh perusahaan keamanan cloud, instance Jupyter yang dapat diakses publik dibobol untuk menjalankan perintah guna mengambil skrip shell (mi.sh) yang dihosting di Codeberg.

Skrip shell, yang bertindak sebagai payload utama, bertanggung jawab untuk mengeksekusi penambang mata uang kripto, membangun persistensi melalui tugas cron, memasukkan kunci yang dikendalikan penyerang ke file .ssh/authorized_keys untuk akses jarak jauh, dan menyebarkan malware ke host lain melalui SSH.

Malware ini juga mampu mengambil dan menginstal rootkit Diamorphine untuk menyembunyikan proses jahat serta mengirimkan kredensial Amazon Web Services (AWS) dan Google Cloud yang ditangkap kembali ke penyerang melalui API bot Telegram.

Salah satu aspek penting dari serangan ini adalah penggantian nama utilitas transfer data yang sah seperti curl dan wget sebagai upaya untuk menghindari deteksi dan mencegah pengguna lain dalam sistem menggunakan alat tersebut.

"mi.sh juga akan melakukan iterasi melalui daftar nama proses yang dikodekan secara hardcode dan berupaya mematikan proses terkait," kata para peneliti.

“Hal ini kemungkinan besar akan menggagalkan operasi penambangan apa pun yang dilakukan oleh pesaing yang sebelumnya mungkin telah mengkompromikan sistem tersebut.”

Skrip shell dirancang lebih lanjut untuk memanfaatkan perintah netstat dan daftar pasangan IP/port yang di-hardcode, yang sebelumnya dikaitkan dengan kampanye cryptojacking, untuk mematikan koneksi jaringan yang ada ke alamat IP tersebut.

Juga diambil langkah-langkah untuk menghapus berbagai file log Linux (misalnya, /var/log/secure dan /var/log/wtmp), yang merupakan tanda lain bahwa aktor Qubitstrike ingin tidak terdeteksi.

Asal usul pelaku ancaman masih belum jelas, meskipun bukti menunjukkan kemungkinan besar pelaku ancaman adalah Tunisia karena alamat IP yang digunakan untuk masuk ke cloud honeypot menggunakan kredensial yang dicuri.

Pemeriksaan lebih dekat terhadap repositori Codeberg juga mengungkapkan implan Python (kdfs.py) yang dirancang untuk dieksekusi pada host yang terinfeksi, dengan Discord bertindak sebagai mekanisme perintah dan kontrol (C2) untuk mengunggah dan mengunduh dari dan ke mesin.

Koneksi antara mi.sh dan kdfs.py masih belum diketahui, meskipun ada dugaan bahwa backdoor Python memfasilitasi penerapan skrip shell.

Tampaknya mi.sh juga dapat dikirimkan sebagai malware mandiri tanpa bergantung pada kdfs.py.

“Qubitstrike adalah kampanye malware yang relatif canggih, dipelopori oleh penyerang dengan fokus khusus pada eksploitasi layanan cloud,” kata para peneliti.

Tentu saja, tujuan utama Qubitstrike tampaknya adalah pembajakan sumber daya untuk tujuan menambang cryptocurrency XMRig.

Meskipun demikian, analisis infrastruktur Discord C2 menunjukkan bahwa, pada kenyataannya, setiap serangan yang mungkin terjadi dapat dilakukan oleh operator setelah mendapatkan keuntungan. akses ke host yang rentan ini."[]