Araştırmacılar, Cryptojacker’ların kripto madencileri yüklemek ve popüler bulut hizmetleri için kimlik bilgisi dosyalarını çalmak amacıyla açığa çıkan Jupyter Notebook’ları hedef aldığını ortaya çıkardı.
Jüpyter Defterleri nedir?
“Jupyter, bireysel kod parçacıklarını barındırmanıza ve başkalarının bu kodu yalıtılmış bir ortamda yürütmesine olanak tanıyan bir hizmettir. Bir Jupyter Not Defteri, Jupyter web uygulamasının bir örneğini ifade eder (yani, çalıştırılacak kodu ve nasıl sunulacağını nerede tanımlayacağınız),” Cado Security Tehdit Araştırma Lideri Matt Muir, Help Net Security’ye söyledi.
Jupyter Notebook’lar, kuruluşların şirket içi veya uzak sunucuları tarafından dağıtılabilir, ancak aynı zamanda yönetilen hizmetler olarak genellikle bulut ortamlarında (örneğin, Google Cloud, AWS) de dağıtılır. Ne yazık ki, erişimin kısıtlanmadığı (örneğin, önceden kimlik doğrulaması istenerek) Not Defterleri genellikle genel internetteki herkes tarafından bulunabilir ve bunlara erişilebilir.
Saldırı
Araştırmacılara göre saldırgan, açığa çıkan bir Notebook’a eriştikten sonra Jupyter’in yerleşik terminal özelliğini kullanarak hızlı keşif yapmak ve sonunda saldırıyı geri almak için bir Bash örneği açıyor. mi.sh kabuk betiği.
Çalıştırıldıktan sonra komut dosyası:
- Bir XMRig madencisini alır ve çalıştırır ve yeniden başlatmanın ardından/günlük olarak onun ve madencinin yürütülmesini sağlar
- Rakip madencilik faaliyetlerini sonlandırma girişimleri (varsa)
- Saldırganın SSH anahtarını ekler (güvenliği ihlal edilen ana bilgisayara kalıcı bir arka kapı oluşturmak için)
- Kötü amaçlı işlemleri gizlemek için bir rootkit yükler
- Bulut hizmeti sağlayıcısının kimlik bilgilerini sızdırır
- teslim etmeye çalışır mi.sh SSH aracılığıyla ilgili ana bilgisayarlara kabuk komut dosyası
Araştırmacılar, Telegram Bot API’sini kullanarak kötü amaçlı yazılımların kimlik bilgilerini sızdırdığını gözlemlediler ve kısa süre sonra saldırganın, bulut hizmetine erişmek için söz konusu kimlik bilgilerini kullanmaya çalıştığını fark ettiler.
Saldırgan, Codeberg kod barındırma platformunda kötü amaçlı yazılım yüklerini barındırıyor ve komutları göndermek ve kampanyanın ilerleyişini izlemek için Discord’u komuta ve kontrol (C2) olarak kullanıyor.
“Discord’u C2 olarak kullanmak alışılmadık bir durum değil; büyük miktarda kötü amaçlı yazılım, web kancaları ve botlar gibi geliştirici dostu özellikleri kötüye kullanacak. Bunun nedeni, bu özelliklere erişim ve kullanım kolaylığının (yeni bir hesap açıp bot oluşturmanın saniyeler sürmesi) yanı sıra platformların kendilerine aşina olmasından kaynaklanmaktadır. Discord gibi SaaS platformlarını kullanmak aynı zamanda C2 trafiğinin ağlarda tanımlanmasını da zorlaştırıyor, çünkü SaaS platformlarına giden trafik genellikle her yerde bulunur ve çözülmesi gereken zorluklar oluşturabilir,” diye açıkladı Muir.
Jupyter Not Defterlerini Korumak
Araştırmacılar, YARA kurallarını ve güvenlik ihlali göstergelerini (IoC’ler) paylaştılar ve Jupyter Notebook dağıtımlarına sahip kullanıcılara Jupyter sunucularının güvenliğini kendilerinin incelemesini ve güvenlik duvarı ile güvenlik grubu yapılandırmalarına özellikle dikkat etmelerini tavsiye ettiler.
“Jupyter’ın çağdaş sürümleri, varsayılan olarak etkin olan jeton tabanlı kimlik doğrulamayı içeriyor. Ayrıca sunucunun güvenliğini bir parola ile sağlamayı da seçebilirsiniz. Muir, derinlemesine savunma yaklaşımını benimsemenizi ve güvenlik duvarı oluşturma ve IP izin verilenler listesi oluşturma gibi ek ağ güvenliği önlemleri eklemenizi öneriyoruz” diyor.
“Bir saldırı, Jupyter Notebook’un üzerinde çalıştığı temel altyapıyı tehlikeye atmayı başarırsa, bulut sağlayıcının bunu düzeltmesi gerekir (yönetilen bir hizmet durumunda).”