هدف قرار دادن نوت‌بوک Jupyter توسط کمپین Cryptojacking Qubitstrike

هدف قرار دادن نوت‌بوک Jupyter توسط کمپین Cryptojacking Qubitstrike

تاریخ ایجاد

محققان کمپین حمله جدیدی را کشف کرده‌‌اند که نمونه‌‌های نوت‌بوک Jupyter را به خطر می‌‌اندازد و بدافزار cryptojacking را بر روی آن مستقر می‌‌کند. این عملیات از Discord برای عملیات کنترل و فرمان استفاده می‌کند و اطلاعات AWS و Google Cloud را از سرورهای در معرض خطر به سرقت می‌برد.
محققان Cado Security که در در زمینه ارزیابی امنیت ابری و پاسخگویی به حوادث فعالیت دارند، در گزارشی اعلام کردند: «Qubitstrike یک کمپین بدافزار نسبتاً پیچیده است که توسط مهاجمان با تمرکز ویژه بر بهره‌برداری از خدمات ابری هدایت می‌‌شود. نوت‌بوک‌های Jupyter معمولاً در محیط‌های ابری مستقر می‌شوند و ارائه‌دهندگانی مانند Google و AWS آن‌ها را به‌عنوان خدمات مدیریت‌شده ارائه می‌کنند.

محققان شرکت Cado Security مشاهده کرده‌‌اند که مهاجمان Qubitstrike به هانی‌‌پات‌های نوت‌بوک Jupyter  که عمداً محافظت نشده‌اند متصل می‌‌شوند و از ویژگی دسترسی ترمینال جهت باز کردن رابط خط فرمان Bash استفاده می‌‌کنند و به صورت دستی مجموعه‌‌ای از دستورات را برای دریافت اطلاعات CPU سیستم، اطلاعات کاربر وارد شده به سیستم و اخذ دسترسی root از طریق دستور su، در صورت نصب ابزار curl، اجرا کرده‌‌اند.
این مرحله با اجرای یک فرمان کدگذاری شده با base64 زمانی به اوج خود می‌‌رسد که از curl برای دانلود یک اسکریپت Bash به نام mi.sh از یک حساب کاربری در codeberg.org، یک پلت‌فرم میزبانی Git که مشابه GitHub است، استفاده می‌‌شود. اسکریپت در یک پوشه موقت ذخیره شده، سپس اجرا و در نهایت حذف می‌‌شود.
اسکریپت mi.sh سیستم را برای استقرار ابزارهای اضافی، به ویژه نسخه‌‌ای از برنامه استخراج ارز دیجیتال XMRig، تنظیم می‌‌کند. ابتدا، اسکریپت ابزارهای curl و wget را در سیستم تغییر نام می‌دهد تا در زمان استفاده از آن‌ها، ابزارهای شناسایی در سیستم تحریک نشوند. همچنین این اسکریپت فرآیندهای در حال اجرا را جهت کشف حضور کریپتوماینرهای رقیب، اسکن کرده و در صورت وجود، آن‌ها را از بین می‌‌برد. این اسکریپت همچنین اتصالات به یک لیست کدگذاری شده از آدرس‌‌های IP مرتبط با عملیات رمزنگاری را نیز از بین می‌‌برد. از دیگر اقدامات انجام شده توسط این اسکریپت، یافتن و حذف لاگ‌‌های مختلف سیستم است و با ثبت چندین کار cron و افزودن کلید SSH مهاجم به سیستم، بقا و مانایی خود را در سیستم تضمین می‌‌کند. 
مهم‌تر از همه، این اسکریپت روت‌‌کیتی به نام Diamorphine را دانلود و اجرا می‌‌کند که این روت‌‌کیت به عنوان یک ماژول هسته عمل می‌‌کند که با دستور insmod بارگذاری شده و هدف آن مخفی کردن فرآیندهای مهاجم در سیستم است. اگر دستور insmod از کار بیفتد، مهاجمان Diamorphine را از مبداء به عنوان یک فایل اشتراک‌گذاری شده لینوکس کامپایل کرده و سپس از روش LD Preload برای ثبت آن با پیونددهنده پویا استفاده می‌کنند، در نتیجه هر بار که یک فایل اجرایی جدید روی سیستم راه‌اندازی شود، فایل مخرب اجرا می‌شود.
به گفته محققان Cado: "Diamorphine در محافل بدافزار لینوکس به خوبی شناخته شده است، به طوری که این روت‌‌کیت در کمپین‌‌های TeamTNT و اخیراً Kiss-a-dog مشاهده شده است. کامپایل بدافزار هنگام تحویل متداول است و برای فرار از EDR و سایر مکانیزم‌‌های تشخیص استفاده می‌‌شود."
در نهایت، اسکریپت mi.sh دایرکتوری‌های محلی را برای توکن‌های دسترسی به AWS و Google Cloud جستجو کرده و هر یک را که پیدا کند، به یک گروه تلگرامی ارسال خواهد کرد. محققان Cado عمداً یک توکن AWS را روی سیستم هانی‌پات خود قرار دادند و مشاهده کردند که بلافاصله در تلاش برای دسترسی به حساب AWS مرتبط می‌باشد. بدافزار Qubitstrike همانند SSH عمل می‌‌کند و به کمک اسکریپت سعی می‌‌کند به تمام آدرس IPهای لیست‌شده در فایل میزبان SSH، در سیستم متصل شده و mi.sh را به آن‌ها انتقال دهد.
با بررسی مخزن Codeberg که میزبان اسکریپت mi.sh بود، محققان اسکریپت‌‌ها و بارهای اضافی از جمله یک جاگذاری به نام kdfs.py که به زبان پایتون نوشته شده بود را کشف کردند. پس از اجرا بر روی یک سیستم، مشخص شده که این جاگذاری به عنوان یک بات عمل می‌‌کند که به سرور و کانال Discord می‌پیوندد و منتظر دستورات است. همچنین از دانلود و آپلود فایل‌‌ها از طریق قابلیت پیوست Discord پشتیبانی می‌‌کند. محققان می‌‌گویند: نام سرور مورد استفاده «NETShadow» و کانالی که بات اطلاعات را به آن ارسال می‌کند «victims» است. سرور همچنین کانال دیگری با عنوان «ssh» دارد. با این حال، بررسی‌‌ها نشان داده که این کانال خالی بوده است. همه کانال‌ها دقیقاً همزمان در 2 سپتامبر 2023 ساخته شدند که نشان می‌دهد فرآیند ایجاد خودکار بوده است. نام کاربری بات Qubitstrike است و به همین دلیل این نام برای این بدافزار انتخاب شده است.
محققان Cado حدس می زنند که kdfs.py ممکن است ابتدا در برخی از سیستم‌ها اجرا شود و سپس برای استقرار mi.sh مورد استفاده قرار گیرد. با این حال، در سیستم هانی‌پات آن‌ها، ربات kdfs.py هرگز مستقر نشد. در حالی که هدف نهایی حمله، استقرار یک ماینر XMRig بر روی سیستم‌های در معرض خطر بود، بدیهی است که دسترسی مهاجمان محدود به این هدف نبوده و می‌توانند به فعالیت‌‌های دیگر نیز بپردازند.

محصولات تحت تأثیر
نوت‌‌بوک Jupyter یک پلت فرم محاسباتی تعاملی مبتنی بر وب است که از بیش از 40 زبان برنامه‌‌نویسی پشتیبانی می‌‌کند و جهت تجسم داده‌‌ها، یادگیری ماشین، تبدیل داده‌‌ها، شبیه‌‌سازی عددی، مدل‌‌سازی آماری و مدیریت خروجی‌های محاسباتی مختلف استفاده می‌‌شود. این برنامه، یک برنامه منبع باز است که می‌‌تواند بر روی سرورها مستقر شده و از سال گذشته به عنوان نقطه ورودی برای سایر کمپین‌‌های حمله مبتنی بر ابر استفاده شده است؛ زیرا ویژگی‌های قدرتمندی از جمله اجرای دستور را در معرض نمایش قرار می‌دهد.
مشکل اصلی در نوت‌‌بوک Jupyter تنها یک آسیب‌پذیری نیست، بلکه ماهیت خود سرویس است؛ یک پلت‌فرم منبع باز و مشترک که کاربران در آن تمایل دارند کد را در یک محیط بسیار قابل تنظیم و ماژولار به اشتراک بگذارند و اجرا کنند. بسیاری از جذابیت‌های استفاده از نوت‌بوک‌های Jupyter، نمونه‌سازی نمونه‌های کوچک کد، یا اجرای نسخه‌های سبک وزن از الگوریتم‌های خاص است. 
طبق تحقیقات اخیر، مشخص شده است که اگر دسترسی در نوت‌‌بوکJupyter  به درستی محدود نشده باشد، امکان ایجاد یک بردار دسترسی اولیه جدید از طریق آن وجود دارد که هکرها می‌‌توانند از آن برای به خطر انداختن محیط‌‌های ابری سازمانی استفاده کنند. در نمونه اخیر، در ماه سپتامبر 2023، یک هکر با IP تونس، با استفاده از این ابزار و تنها در 195 ثانیه، تلاش دوگانه‌‌ای برای رمزنگاری و به خطر انداختن امنیت فضای ابری انجام داده است و امنیت هانی‌‌پات ابری Cado را به خطر انداخت.
تمامی سرویس‌‌های ارائه‌دهنده خدمات نوت‌‌بوک Jupyter، بویژه ارائه‌‌دهندگان سرویس‌‌های ابری می‌‌توانند تحت تاثیر این حمله قرار بگیرند. به عنوان نمونه، خدمات وب آمازون و Google Cloud به کاربران اجازه می‌‌دهند تا نوت‌‌بوک Jupyter را به عنوان یک سرویس مدیریت شده اجرا کنند و یا کاربران می‌‌توانند آن را روی یک نمونه ماشین مجازی استاندارد اجرا کنند. بعلاوه سرویس Microsoft Azure Cosmos DB دارای ویژگی Cosmos DB Jupyter Notebook است.

توصیه‌های امنیتی
محققان شرکت Cado Security از کاربران نوت‌بوک Jupyter می‌خواهد تا امنیت سرورهای Jupyter را بررسی کنند و توجه ویژه‌ای به دیواره آتش و پیکربندی‌های گروه امنیتی داشته باشند. در حالت ایده‌آل، نوت‌‌بوک‌‌ها نباید در معرض اینترنت عمومی قرار گیرند و اگر قرار است در معرض دید باشند، باید علاوه بر محدود کردن دسترسی به مجموعه‌‌ای از IPهای مجاز، مطمئن شد که فرایند احراز هویت برای دسترسی استفاده‌‌کنندگان فعال شده باشد.

منابع خبر:


[1]https://www.csoonline.com/article/656288/cryptojacking-campaign-qubitstrike-targets-exposed-jupyter…
[2] https://www.darkreading.com/cloud/jupyter-notebook-cloud-credential-theft