Компания Palo Alto Networks сообщает, что хакерская группировка Rocke использует новую майнинговую малварь Pro-Ocean для атак на уязвимые установки Apache ActiveMQ, Oracle WebLogic и Redis.
Напомню, что Rocke была обнаружена экспертами Cisco Talos еще далеким летом 2018 года. Основным направлением работы группы всегда был майнинг криптовалюты Monero, и мы рассказывали о том, как хакеры конкурировали с другими злоумышленниками за контроль над уязвимыми серверами.
Теперь эксперты пишут, что Rocke по-прежнему не изменяет своей привычке атаковать облачные приложения и эксплуатировать различные известные уязвимости для захвата контроля над непропатченными серверами Oracle WebLogic (CVE-2017-10271), Apache ActiveMQ (CVE-2016-3088) и небезопасными установками Redis.
Обнаруженная аналитиками малварь Pro-Ocean содержит «новые и улучшенные» возможности, лежащие в области руткитов и червей. Эти функции позволяют Pro-Ocean эффективно скрывать свою вредоносную активность.
К примеру, чтобы оставаться незамеченной, Pro-Ocean использует функцию Linux LD_PRELOAD, которая помогает приоритизировать загрузку определенных библиотек, а также библиотеку Libprocesshider.
Как было замечено выше, Pro-Ocean обладает потенциалом червя, и реализовано такое распространение малвари весьма просто. Специальный Python-скрипт использует общедоступный IP-адрес зараженной машины и службу identity.me, а затем пытается заразить любые доступные машины, находящиеся в той же 16-битной подсети. При этом малварь не старается как-то отсортировать потенциальных жертв и просто пытается применить эксплоиты к любым обнаруженным хостам в надежде, что один из них сработает. В случае успеха скрипт доставляет в систему полезную нагрузку, которая, в свою очередь, загружает скрипт для установки для Pro-Ocean с удаленного HTTP-сервера.
Этот написанный на Bash и обфусцированный установочный скрипт играет важную роль в операциях Rocke. Дело в том, что помимо доставки на зараженный хост малвари Pro-Ocean, он же устраняет конкурентов, удаляя любые вредоносы и майнеры, уже присутствующие в системе. Кроме того, скрипт предоставляет Pro-Ocean полный доступ, удаляя iptables Firewall и любые агенты мониторинга, которые могут заметить атаку и понять тревогу.
Так как майнинг Monero – по-прежнему приоритетная задача хакеров, Pro-Ocean поставляется со специальным модулем, который следит за использованием ЦП и ликвидирует любые легитимные процессы, если те загружают процессор более чем на 30%. Этот же модуль регулярно проверяет, активен ли майнер и перезапускает его, если что-то пошло не так.
Исследователи предупреждают, что пока малварь использует лишь две уязвимости, но в будущем их количество может увеличиться, если авторы малвари решат нацелить Pro-Ocean на другие облачные приложения и серверы. Пока же специалисты уверены, что главными целями для атак Pro-Ocean являются облачные сервисы Alibaba и Tencent.