一项新的研究表明,一个因加密劫持攻击而臭名昭著的出于经济动机的威胁参与者,利用Web服务器技术中的漏洞,利用其恶意软件的修订版来针对云基础架构。
研究人员详细指出:“ Pro-Ocean使用已知的漏洞来锁定云应用程序。” “在我们的分析中,我们找到了针对Apache ActiveMQ(CVE-2016-3088),Oracle WebLogic(CVE-2017-10271)和Redis(不安全实例)的Pro-Ocean 。”
“一旦安装,该恶意软件将杀死大量使用CPU的进程,从而使其能够使用100%的CPU并有效地挖掘Monero。”
Rocke最初由Cisco Talos于2018年记录在案,发现它使用多种工具包分发和执行加密采矿恶意软件,其中包括Git存储库和不同的有效负载(例如Shell脚本,JavaScript后门以及可移植的可执行文件)。
虽然先前的恶意软件变种依靠腾讯云和阿里巴巴云通过利用Apache Struts 2,Oracle WebLogic和Adobe ColdFusion中的漏洞来定位和删除云安全产品的能力,但Pro-Ocean扩大了这些攻击媒介的范围针对Apache ActiveMQ,Oracle WebLogic和Redis服务器。
除了其自我传播功能和更好的隐藏技术,使它可以留在雷达下并传播到网络上未打补丁的软件外,一旦安装,该恶意软件便开始卸载监视代理程序,以躲避检测并从受感染的系统中删除其他恶意软件和矿工。 。
为此,它利用称为LD_PRELOAD的本机Linux功能掩盖其恶意活动,使名为Libprocesshider的库保持隐藏,并使用Python感染脚本,该脚本利用计算机的公用IP感染同一16位系统中的所有计算机子网(例如10.0.XX)。
Pro-Ocean还通过杀死受感染主机上运行的其他恶意软件和矿工(包括Luoxk,BillGates,XMRig和Hashfish)来消除竞争。此外,它还附带有一个用Bash编写的看门狗模块,该模块可确保持久性并负责终止所有占用CPU超过30%的进程,从而有效地挖掘Monero。
Unit 42研究人员Aviv Sasson说:“该恶意软件是一个例子,表明云提供商基于代理的安全解决方案可能不足以防止针对公共云基础设施的逃避性恶意软件。” “此样本具有删除某些云提供商的代理并逃避其检测的能力。”
*编译:Domino
*来自:thehackernews
文章评论