Linux: Qubitstrike attacca Jupyter Notebook per rubare credenziali

La società di sicurezza Cado Security Labs ha scoperto una campagna di cryptojacking che prende di mira i Jupyter Notebook Linux esposti a internet per violare i server e distribuire il malware Quibitstrike. L’obiettivo principale di questa campagna sarebbe quello di rubare le credenziali del fornitore di servizi cloud (CSP) e installare cryptominer. I Jupyter Notebook sono ambienti informatici interattivi open source per l’analisi dei dati, l’apprendimento automatico e la ricerca scientifica. Come riportato sul sito ufficiale di Cado Security Labs, il malware Quibitstrike include un’infrastruttura di comando e controllo (C2) relativamente sofisticata, con il controller che utilizza la funzionalità bot di Discord per impartire comandi su endpoint compromessi e monitorare l’avanzamento della campagna.

Linux: come funziona il malware Quibitstrike

Nella campagna Quibitstrike, gli autori delle minacce scaricano payload dannosi per dirottare un server Linux per criptomining e rubare credenziali per servizi cloud, come AWS e Google Cloud. I payload del malware sono ospitati su codeberg.org e rappresentano il primo caso di abuso di questa piattaforma per la distribuzione di malware. Secondo Cado Security Labs, gli attacchi di Quibitstrike cominciano con una scansione manuale degli Jupyter Notebook esposti, seguita dall'identificazione della CPU per valutarne il potenziale di mining. I cybercriminali cercano file di credenziali da poter rubare. In seguito, scaricano ed eseguono uno script dannoso ("mi.sh") utilizzando un comando con codifica base64. Questo script recupera/esegue un miner XMRig e garantisce che venga eseguito ogni volta che il sistema viene riavviato. Infine, il malware termina qualsiasi operazione di mining esistente nel sistema, aggiunge la chiave SSH controllata per creare una backdoor persistente e installa un rootkit per nascondere processi dannosi.

Qubitstrike, dopo aver cercato le credenziali sull'endpoint compromesso, le invia ai suoi operatori utilizzando l'API Bot di Telegram. A questo punto, gli haker possono eseguire varie attività dannose, tra cui l’installazione di malware e backdoor aggiuntive sul sistema, il furto di proprietà intellettuale o dati sensibili, ma anche l’interruzione o il sabotaggio della ricerca. Inoltre, i cybercriminali possono consegnare lo script della shell agli host correlati anche tramite SSH. Come ricorda ancora Cado, anche se l’obiettivo principale del malware è il dirottamento delle risorse per estrarre la criptovaluta XMRig, l’analisi dell’infrastruttura Discord C2 mostra gli operatori possono effettuare ogni attacco dopo aver avuto accesso a questi host vulnerabili. Proprio per questo motivo, la società di sicurezza invita gli utenti che utilizzano Jupyter Notebook a rivedere la sicurezza dei server Jupyter, prestando particolare attenzione alle configurazioni del firewall e dei gruppi di sicurezza.