Эксперты обнаружили новую кампанию по скрытому майнингу через уязвимые Jupyter Notebooks

Кампания была выявлена в ходе планового анализа данных с honeypot-систем (ловушек), имитирующих доступные извне Jupyter Notebooks. Jupyter Notebook - это интерактивная веб-среда для работы с кодом на Python, популярная среди специалистов по данным. Часто такие среды остаются неправильно сконфигурированными и доступными из интернета, что делает их привлекательной мишенью для злоумышленников.

Атака начинается с загрузки bash-скрипта и файла Microsoft Installer (MSI). После извлечения MSI-файла выполняется пользовательское действие, указывающее на исполняемый файл с именем Binary.freedllBinary. Этот 64-разрядный исполняемый файл для Windows предназначен для загрузки вторичной полезной нагрузки - файла java.exe, который маскируется под легальное программное обеспечение Java Platform SE 8.

Файл java.exe упакован с помощью UPX - популярного инструмента для сжатия и обфускации исполняемых файлов. После запуска он загружает зашифрованный файл x2.dat с одного из хостингов: GitHub, Launchpad или китайского аналога GitHub - Gitee. Данные в файле зашифрованы с использованием алгоритма ChaCha20 и сжаты с помощью zlib. После расшифровки и распаковки извлекается конечный вредоносный модуль - программа для майнинга криптовалют, поддерживающая такие валюты, как Monero, Ravencoin, Wownero и другие.

Для Linux-систем сценарий атаки выглядит схожим образом. Если первоначальная попытка выполнить MSI-файл оказывается неудачной, злоумышленники загружают bash-скрипт 0217.js, который, в свою очередь, загружает ELF-файлы 0218.elf и 0218.full. Эти файлы также упакованы с помощью UPX и функционально аналогичны Windows-версии. Они загружают зашифрованные данные, расшифровывают их и запускают майнер. Для обеспечения устойчивости в системе создаются задания cron, выполняющиеся каждые 10-40 минут.

Любопытной особенностью кампании является использование идентичного майнера как в Windows, так и в Linux-средах, с одним и тем же кошельком и пулами для майнинга, включая C3.wptask.cyou и Sky.wptask.cyou. Кроме того, исследователи обнаружили параллельную кампанию, нацеленную на серверы с установленным PHP. На том же IP-адресе 45.130.22[.]219 размещён скрипт 1.php, который определяет операционную систему и загружает соответствующую версию вредоносного кода.

Подобные атаки не являются абсолютно новыми - ранее в 2024 году уже сообщалось о схожих методах эксплуатации уязвимостей в Ivanti Connect Secure и необновлённых корейских веб-серверах. Однако использование Jupyter Notebook в качестве вектора атаки документируется впервые.

Данный случай в очередной раз демонстрирует, что общедоступные облачные сервисы с некорректными настройками безопасности остаются ключевой мишенью для злоумышленников, которые используют их для размещения скрытых майнеров. Это приводит не только к снижению производительности систем и росту затрат на облачную инфраструктуру, но и создаёт угрозу утечки данных.

Чтобы снизить риски, организациям рекомендуется использовать строгую аутентификацию, запретить публичный доступ к critical-сервисам, регулярно мониторить активность и применять инструменты безопасности, предоставляемые cloud-провайдерами. Постоянная бдительность и обучение пользователей остаются важными элементами защиты в условиях быстро меняющегося ландшафта киберугроз.

IPv4

• 141.11.89.42
• 172.245.126.209
• 45.130.22.219
• 45.147.51.78

Domains (Pools)

• auto.c3pool.org
• auto.skypool.xyz
• c3.wptask.cyou
• sky.wptask.cyou

URLs

• https://172.245.126.209/lx.dat
• https://git.launchpad.net/freewindpet/plain/lx.dat
• https://gitee.com/freewindsand/pet/raw/main/lx.dat
• https://github.com/freewindsand
• https://github.com/freewindsand/pet/raw/refs/heads/main/lx.dat

MD5

• 090a2f79d1153137f2716e6d9857d108
• 1cdf044fe9e320998cf8514e7bd33044
• 227e2f4c3fd54abdb8f585c9cec0dcfc
• 3750f6317cf58bb61d4734fcaa254147
• 51a7a8fbe243114b27984319badc0dac
• 6323313fb0d6e9ed47e1504b2cb16453
• C1bb30fed4f0fb78bb3a5f240e0058df