İnternete maruz kalan Jupyter Notebook’lar, Cado Güvenlik Laboratuarlarının keşfettiği Qubit Strike adlı yeni bir kripto hırsızlığı kampanyasının hedefi oluyor.
Kampanya, karmaşık bir komuta ve kontrol (C2) altyapısı oluşturmak için Discord’un bot işlevini kullanıyor ve saldırganların virüslü düğümleri ve bunların madencilik faaliyetlerini yönetmesine ve izlemesine olanak tanıyor.
Barındırma Platformu Olarak Codeberg
Qubit Strike’ın dikkat çeken yönlerinden biri, kötü amaçlı kodları için barındırma platformu olarak GitHub’a alternatif olarak ortaya çıkan Codeberg’i kullanmasıdır.
Codeberg’in ilk kez aktif bir kötü amaçlı yazılım kampanyasında gözlemlenmesi, onu kötü amaçlı yazılım geliştiricileri için cazip bir seçenek haline getirebilir.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Cado Security Labs, ortaya çıkan trendler için kampanyayı izlemeye devam ediyor. Kötü amaçlı yazılım ilk olarak Cado’nun yüksek etkileşimli Jupyter bal küpünde tespit edildi.
Honeypot örneğine bağlanan ve sistemi tehlikeye atmak için manuel olarak çeşitli komutları çalıştıran bir Tunus IP adresi.
Bu, operatörün muhtemelen Shodan gibi araçları kullanarak balküpünü kasten hedef aldığını gösteriyor.
Qubitstrike’ın Kalbi:
Qubitstrike’ın ana bileşeni, birden fazla kritik işlevi yerine getiren mi.sh adlı bir kabuk betiğidir:
- Kripto para madenciliği için XMRig madencisini indirme ve çalıştırma.
- Cron tabanlı kalıcılığın ayarlanması ve saldırgan tarafından kontrol edilen bir SSH anahtarının eklenmesi.
- Diamorphine rootkit’in kurulması.
- Ana bilgisayardan kimlik bilgilerinin çalınması.
- Kötü amaçlı yazılımın SSH aracılığıyla ilgili ana bilgisayarlara yayılması.
Hazırlık ve Kaçınma:
mi.sh, sistemi hazırlayarak ve algılamayı önlemek için curl ve wget gibi veri aktarım yardımcı programlarının ikili dosyalarını yeniden adlandırarak başlar. Bu kaçırma taktiği, bu yardımcı programların herhangi bir güvenlik uyarısını tetiklememesini veya kötü amaçlı yazılımın çalışmasına müdahale etmemesini sağlamaktır.
Qubitstrike’ın ayırt edici bir özelliği, özellikle AWS ve Google Cloud ile ilgili kimlik bilgisi dosyalarını arayabilmesidir. Bu kimlik bilgileri Telegram Bot API aracılığıyla çalınıyor ve saldırganların Bulut Hizmet Sağlayıcı kimlik bilgilerine ilgi duyduğunu gösteriyor.
Komuta ve Kontrol Olarak Discord:
Qubitstrike, basitliği ve popülerliği nedeniyle kötü amaçlı yazılım yazarlarının ortak tercihi olan komuta ve kontrol (C2) platformu olarak Discord’u kullanıyor. Ancak saldırganlar, Discord tokenını script içerisine kodlayarak niyetlerini gizlemeye yönelik önlemler alıyor.
Diğer kripto hırsızlığı kampanyaları gibi Qubitstrike da kötü amaçlı yazılımı ilgili ana bilgisayarlara yaymak için bilinen_hosts dosyalarını kullanarak SSH bağlantıları üzerinden yayılmaya çalışıyor. Bu, kötü amaçlı yazılımın kripto para birimi madenciliği için kolektif işlem gücünden yararlanmasına olanak tanır.
Qubitstrike, kötü amaçlı işlemleri gizlemek için tasarlanmış Diamorphine Linux Çekirdek Modülü (LKM) kök setini dağıtır. Rootkit kodlanmış bir biçimde teslim edilir, kodu çözülür ve ana bilgisayara yüklenir, bu da tespit edilmesini zorlaştırır.
Discord, C2’nin yanı sıra Qubitstrike’ta veri sızıntısı için bir platform görevi görüyor. Dosyalar, Discord ekleri aracılığıyla yüklenip indirilebiliyor, bu da saldırganlara başka bir gizleme katmanı sağlıyor.
Qubitstrike, Bulut Hizmet Sağlayıcısı kimlik bilgilerini hedeflerken Discord’u komuta ve kontrol için kullanarak ve veri hırsızlığı yaparak çok yönlü bir tehdit oluşturuyor.
Kötü amaçlı yazılımın kaçınma teknikleri ve barındırma platformunun seçimi, onu siber güvenlik alanında ilgi çekici ve potansiyel olarak büyüyen bir endişe haline getiriyor.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.