Исследователи Cado Security Labs обнаружили новую кампанию криптоджекинга, нацеленную на открытые Jupyter Notebook. Вредоносная программа включает в себя достаточно сложную инфраструктуру управления и контроля (C2). Контроллер использует бота Discord для подачи команд на скомпрометированные узлы и мониторинга хода кампании.
После успешной компрометации Qubitstrike ищет ряд жестко закодированных файлов с учетными данными для популярных облачных сервисов (включая AWS и Google Cloud) и выводит их через Telegram Bot API. Исследователи Cado были предупреждены об использовании одного из таких файлов учетных данных, что свидетельствует о намерении злоумышленника переключиться на облачные ресурсы после использования Qubitstrike для получения соответствующих учетных данных.
Полезная нагрузка для кампании Qubitstrike была размещена на codeberg.org - альтернативной платформе Git-хостинга, обеспечивающей во многом ту же функциональность, что и Github. Исследователи Cado впервые столкнулись с этой платформой в рамках активной вредоносной кампании.
Indicators of Compromise
Domains
- pool.hashvault.pro
Domain Port Combinations
pool.hashvault.pro:80
URLs
- https://codeberg.org/m4rt1/sh/raw/branch/main/kill_loop.sh
- https://codeberg.org/m4rt1/sh/raw/branch/main/killer.sh
- https://codeberg.org/m4rt1/sh/raw/branch/main/xm64.tar.gz
SHA256
- 20a0864cb7dac55c184bd86e45a6e0acbd4bb19aa29840b824d369de710b6152
- 96de9c6bcb75e58a087843f74c04af4489f25d7a9ce24f5ec15634ecc5a68cd7
- 9a5f6318a395600637bd98e83d2aea787353207ed7792ec9911b775b79443dcd
- a34a36ec6b7b209aaa2092cc28bc65917e310b3181e98ab54d440565871168cb
- ae65e7c5f4ff9d56e882d2bbda98997541d774cefb24e381010c09340058d45f
- bd23597dbef85ba141da3a7f241c2187aa98420cc8b47a7d51a921058323d327
