Tin tặc đang quét Jupyter Notebooks tiếp xúc với internet để triển khai một loạt phần mềm độc hại bao gồm rootkit Linux, công cụ khai thác tiền điện tử và các tập lệnh đánh cắp mật khẩu.
Jupyter Notebooks là môi trường điện toán tương tác mã nguồn mở để phân tích dữ liệu, học máy và nghiên cứu khoa học. Nền tảng này gần đây đã bị nhắm mục tiêu bởi một phần mềm độc hại khác có tên ‘PyLoose’, cũng dẫn đến việc triển khai công cụ khai thác XMRRig trong vùng chứa bên dưới.
Trong một chiến dịch mới có tên ‘Qubitstrike’, các tác nhân đe dọa tải xuống các tải trọng độc hại để chiếm quyền điều khiển máy chủ Linux để khai thác tiền điện tử và đánh cắp thông tin đăng nhập cho các dịch vụ đám mây, chẳng hạn như AWS và Google Cloud. Tải trọng phần mềm độc hại Qubitstrike được lưu trữ trên codeberg.org, đánh dấu trường hợp đầu tiên của nền tảng này bị lạm dụng để phân phối phần mềm độc hại.
Chiếm quyền điều khiển Linux với Qubitstrike
Các cuộc tấn công Qubitstrike được cho là bắt đầu bằng việc quét thủ công các máy tính Jupyter bị lộ, sau đó là nhận dạng CPU để đánh giá tiềm năng khai thác của nó.
Những kẻ tấn công tìm kiếm các tệp thông tin xác thực mà chúng có thể đánh cắp, tải xuống và thực thi tập lệnh (‘mi.sh’) bằng lệnh được mã hóa base64.
Tập lệnh chịu trách nhiệm cho hầu hết các hoạt động độc hại trên máy chủ Linux bị xâm nhập, bao gồm:
- Tải xuống và chạy một công cụ khai thác XMRig cải trang thành “python-dev”
- Thiết lập bốn công việc cron (apache2, apache2.2, netns, netns2) đảm bảo sự liên tục cho người khai thác và tập lệnh
- Chèn khóa SSH do kẻ tấn công kiểm soát để truy cập root liên tục
- Cài đặt rootkit ‘Diamorphine’ LKM (mô-đun có thể tải) giúp ẩn các quy trình cụ thể khỏi các công cụ giám sát
- Đánh cắp thông tin đăng nhập từ điểm cuối bị vi phạm và lây lan qua SSH
Cado báo cáo rằng mi.sh cũng thực hiện một số bước tối ưu hóa tấn công bằng cách sử dụng thành phần bổ sung có tên “kthreadd”, chẳng hạn như phát hiện các công cụ khai thác cạnh tranh trong danh sách các quy trình đang chạy và tiêu diệt chúng cũng như sử dụng tiện ích ‘netstat’ để ngắt kết nối tới các IP được gắn cờ cho cryptojacking.
Để che giấu danh tính của kẻ tấn công, các tiện ích truyền dữ liệu như ‘curl’ và ‘wget’ đã được đổi tên và các tệp nhật ký chứa bằng chứng về hành vi vi phạm sẽ bị xóa khỏi hệ thống bằng chức năng tùy chỉnh (‘log_f’).
Các tập lệnh Qubitstrike cũng cài đặt rootkit Diamorphine mã nguồn mở cho Linux, được sử dụng để che giấu sự hiện diện của mọi tập lệnh đang chạy và tải trọng phần mềm độc hại.
Báo cáo của Cado giải thích: “Diamorphine nổi tiếng trong giới phần mềm độc hại Linux, với rootkit được quan sát thấy trong các chiến dịch từ TeamTNT và gần đây hơn là Kiss-a-dog” .
