0
0
Pro-Ocean agora adota novas táticas de evasão para contornar os métodos de detecção das empresas de cibersegurança
O grupo hacker chinês Rocke, conhecido por seus ataques de cryptojacking, aproveitou uma versão revisada do malware Pro-Ocean para atingir infraestruturas de nuvem usando vulnerabilidades em servidores web, de acordo com uma nova pesquisa.
O malware agora vem com recursos aprimorados de rootkit (malware que permite o acesso privilegiado a um sistema) e worm (programa malicioso autônomo), além de abrigar novas táticas de evasão para contornar os métodos de detecção das empresas de segurança cibernética, disseram pesquisadores da Unidade 42 da Palo Alto Networks.
“O Pro-Ocean usa vulnerabilidades conhecidas para atingir aplicativos em nuvem”, detalham os pesquisadores. “Em nossa análise, encontramos o Pro-Ocean direcionado ao Apache ActiveMQ (CVE-2016-3088), Oracle WebLogic (CVE-2017-10271) e Redis (instâncias não seguras).” Segundo eles, uma vez instalado, o malware mata qualquer processo que use muito a CPU, de forma que seja capaz de usar 100% da CPU e minerar a criptomoeda Monero de forma eficiente.
Documentado pela primeira vez pelo Cisco Talos em 2018, o Rocke distribuiu e executou malware de mineração de criptografia usando um kit de ferramentas variado que inclui repositórios Git e diferentes cargas, como scripts de shell, backdoors JavaScript, bem como arquivos executáveis portáteis.
Enquanto as variantes anteriores do malware se baseavam na capacidade de direcionar e remover produtos de segurança em nuvem desenvolvidos pela Tencent Cloud e Alibaba Cloud explorando falhas no Apache Struts 2, Oracle WebLogic e Adobe ColdFusion, o novo Pro-Ocean expandiu a amplitude desses vetores de ataque visando servidores Apache ActiveMQ, Oracle WebLogic e Redis.
Além de recursos de autopropagação e melhores técnicas de ocultação que permitem que ele permaneça fora do radar e se espalhe para software não corrigido na rede, o malware, uma vez instalado, define a desinstalação de agentes de monitoramento para evitar a detecção e remover outros malware e mineradores dos sistemas infectados.
Para conseguir isso, ele aproveita um recurso nativo do Linux chamado LD_PRELOAD para mascarar sua atividade maliciosa, uma biblioteca chamada Libprocesshider para permanecer oculta, e usa um script de infecção Python que leva o IP público da máquina para infectar todas as máquinas nos mesmos 16 bits da subrede (por exemplo, 10.0.XX).
O Pro-Ocean também trabalha para eliminar a concorrência, eliminando outros malwares e mineradores, incluindo Luoxk, BillGates, XMRig e Hashfish, em execução no host comprometido. Além disso, vem com um módulo watchdog escrito em Bash que garante persistência e se encarrega de encerrar todos os processos que utilizam mais de 30% da CPU com o objetivo de minerar o Monero de forma eficiente.
FONTE: CISO ADVISOR