ÖNEMLİ BULGULAR
Cado Security, Cryptojacker’ların Qubitstrike kötü amaçlı yazılımını dağıtmak için Jupyter Notebook’ları hedef aldığını bildirdi.
Bu kampanyada açığa çıkan Jupyter Not Defterlerinden, özellikle de bulut ortamlarında dağıtılanlardan yararlanılıyor.
Amaç, bulut hizmeti sağlayıcılarının kimlik bilgilerini çalmak ve bulut hizmetlerine erişmektir.
Qubitstrike, Jupyter Notebooks yapılandırmalarındaki güvenlik açıklarını arayan ve SSH yayılımını destekleyen, gelişen bir kötü amaçlı yazılım kampanyasıdır.
Saldırılar ek kötü amaçlı yazılımlar yükleyebilir, hassas verileri çalabilir ve araştırma faaliyetlerini kesintiye uğratabilir.
Jupyter Not Defterleri, veri bilimcileri ve araştırmacılar tarafından yaygın olarak kullanılan araçlardır. Cado Security Labs’ın yeni araştırmasına göre tehdit aktörleri, hedef sistemlere yetkisiz erişim elde etmek ve Qubitstrike kötü amaçlı yazılımını dağıtmak için savunmasız Jupyter Notebook yapılandırmalarını hedef alıyor.
Bu kampanyanın temel amacı, bulut hizmetleri sağlayıcısının (CSP) kimlik bilgilerini çalmak ve kripto madencileri yüklemektir. Bu, tehdit aktörlerinin bilimsel araştırmaları engellemeye çalıştığını gösteriyor. Cado araştırmacıları, saldırganların, istismar kapsamlarını genişletmek için çalınan CSP kimlik bilgilerini kullandıklarını belirtti.
Kötü amaçlı yazılım geliştiricilerinin, şüphelenmeyen kullanıcılara kimlik avı e-postaları göndererek veya sosyal mühendislik taktikleri kullanarak hedeflenen sisteme sızdığı çok aşamalı bir saldırıdır. Başarılı bir sızmanın ardından kötü amaçlı yazılım, tehlikeye atılan sistemi uzaktan kontrol etmek için uzaktaki bir C2 sunucusuyla bağlantı kurar. Bu yapıldıktan sonra saldırganlar, meşru bir veri analiz aracı olarak gizlenen kötü amaçlı bir mi.sh kabuk betiğini yürütmek için dizüstü bilgisayarların rastgele kod yürütme yeteneğinden yararlanır.
Bu komut dosyası bir XMRig madencisini alır/yürütür ve sistem her yeniden başlatıldığında bunun yürütülmesini sağlar. Ayrıca sistemdeki tüm mevcut madencilik operasyonlarını sonlandırır, kalıcı bir arka kapı oluşturmak için düşmanın SSH anahtarını sisteme ekler ve kötü amaçlı işlemleri gizlemek için bir rootkit yükler.
Artık saldırganlar, sisteme ek kötü amaçlı yazılım/arka kapı yüklemek, bulut hizmeti sağlayıcısının kimlik bilgileri gibi fikri mülkiyet haklarını veya hassas verileri çalmak ve araştırmayı kesintiye uğratmak/sabote etmek de dahil olmak üzere çok çeşitli hain faaliyetler gerçekleştirebiliyor. Saldırganlar, kabuk betiğini SSH aracılığıyla ilgili ana bilgisayarlara da gönderebilir. Veriler Telegram Bot API aracılığıyla sızdırılır.
Qubitstrike kampanya verileri Git barındırma platformunun alternatif hizmeti codeberg.org’da barındırılıyor ve komuta ve kontrol iletişimleri için Discord kullanılıyor. Cado Güvenlik araştırmacıları, bu platformun aktif bir kötü amaçlı yazılım saldırısında kullanıldığını ilk kez keşfettiklerini iddia ediyor.
Codeberg’in gelecek vaat eden durumunun, onu kötü amaçlı yazılım geliştiricileri için bir barındırma hizmeti olarak cazip hale getirmesi mümkündür,” dedi Cado Security’nin raporunda.
Qubitstrike kötü amaçlı yazılımının, tehlikeye atılmış düğümlere komutlar vermek veya kampanyanın ilerleyişini izlemek için Discord’un bot işlevini kullanan gelişmiş C2 altyapısı, bilimsel bilgi işlem ortamlarını hedef alan bu ortaya çıkan tehdide odaklanma ve bu alanlarda güçlü siber güvenlik önlemleri alma ihtiyacını vurguluyor.
Bilginize, Jupyter Notebook’lar uzak veya şirket içi sunucular için tasarlanmış web tabanlı etkileşimli bilgi işlem platformlarıdır ancak genellikle bulut ortamlarında kullanılırlar. Bireysel kod parçacıklarını barındırır ve kullanıcıların kodu yalıtılmış bir ortamda yürütmesine olanak tanır. Google ve Amazon Web Hizmetleri (AWS), Jupyter Notebook’ları yönetilen hizmetler olarak sunar.
İLGİLİ MAKALELER
- SSH, Cado’nun Bulut Tehdit Raporunda En Çok Hedeflenen Hizmet Olmaya Devam Ediyor
- Telegram, AWS ve Alibaba Cloud Kullanıcılarını Hedef Alan Tedarik Zinciri Saldırısı
- Bulut Hizmet Sağlayıcısı Cloudzy, Fidye Yazılımlarına ve APT’lere Yardım Etmekle Suçlanıyor