banner senha segura
senhasegura
cryptocurrency-3409723_1280.jpg

Nova variante de criptojacking visa servidores Apache, Oracle e Redis

Pro-Ocean agora adota novas táticas de evasão para contornar os métodos de detecção das empresas de cibersegurança
Da Redação
03/02/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O grupo hacker chinês Rocke, conhecido por seus ataques de cryptojacking, aproveitou uma versão revisada do malware Pro-Ocean para atingir infraestruturas de nuvem usando vulnerabilidades em servidores web, de acordo com uma nova pesquisa. 

O malware agora vem com recursos aprimorados de rootkit (malware que permite o acesso privilegiado a um sistema) e worm (programa malicioso autônomo), além de abrigar novas táticas de evasão para contornar os métodos de detecção das empresas de segurança cibernética, disseram pesquisadores da Unidade 42 da Palo Alto Networks.

“O Pro-Ocean usa vulnerabilidades conhecidas para atingir aplicativos em nuvem”, detalham os pesquisadores. “Em nossa análise, encontramos o Pro-Ocean direcionado ao Apache ActiveMQ (CVE-2016-3088), Oracle WebLogic (CVE-2017-10271) e Redis (instâncias não seguras).” Segundo eles, uma vez instalado, o malware mata qualquer processo que use muito a CPU, de forma que seja capaz de usar 100% da CPU e minerar a criptomoeda Monero de forma eficiente.

Documentado pela primeira vez pelo Cisco Talos em 2018, o Rocke distribuiu e executou malware de mineração de criptografia usando um kit de ferramentas variado que inclui repositórios Git e diferentes cargas, como scripts de shell, backdoors JavaScript, bem como arquivos executáveis ​​portáteis.

Pro-Ocean usa um kit de ferramentas variado que inclui repositórios Git, scripts de shell e backdoors JavaScript

Enquanto as variantes anteriores do malware se baseavam na capacidade de direcionar e remover produtos de segurança em nuvem desenvolvidos pela Tencent Cloud e Alibaba Cloud explorando falhas no Apache Struts 2, Oracle WebLogic e Adobe ColdFusion, o novo Pro-Ocean expandiu a amplitude desses vetores de ataque visando servidores Apache ActiveMQ, Oracle WebLogic e Redis.

Veja isso
Cryptojacking pegou 81 mil roteadores no Brasil
Worm contamina 2 mil Dockers para mineração

Além de recursos de autopropagação e melhores técnicas de ocultação que permitem que ele permaneça fora do radar e se espalhe para software não corrigido na rede, o malware, uma vez instalado, define a desinstalação de agentes de monitoramento para evitar a detecção e remover outros malware e mineradores dos sistemas infectados.

Para conseguir isso, ele aproveita um recurso nativo do Linux chamado LD_PRELOAD para mascarar sua atividade maliciosa, uma biblioteca chamada Libprocesshider para permanecer oculta, e usa um script de infecção Python que leva o IP público da máquina para infectar todas as máquinas nos mesmos 16 bits da subrede (por exemplo, 10.0.XX).

O Pro-Ocean também trabalha para eliminar a concorrência, eliminando outros malwares e mineradores, incluindo Luoxk, BillGates, XMRig e Hashfish, em execução no host comprometido. Além disso, vem com um módulo watchdog escrito em Bash que garante persistência e se encarrega de encerrar todos os processos que utilizam mais de 30% da CPU com o objetivo de minerar o Monero de forma eficiente.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório