Finansijski motivisani Rocke-ovi hakeri koriste novi cryptojacking malver pod nazivom Pro-Ocean
Novi malver je iskorak u odnosu na raniju prijetnju koju je grupa koristila, jer sada ima self-spreading mogućnost, slijepim bacanjem exploita na otkrivene mašine. Rocke cryptojacking hakeri nisu promijenili naviku da napadaju programe u cloudu i koriste poznate ranjivosti da bi preuzeli kontrolu nad unpatched Oracle WebLogic (CVE-2017-10271) i Apache ActiveMQ (CVE-2016-3088) serverima. Nezaštićeni slučajevi Redis-a su takođe na listi. Istraživači kompanije Palo Alto Networks koji analiziraju malver kažu da uključuje „nove i poboljšane rootkit I worm mogućnosti“ koje mu omogućavaju da sakrije zlonamerne aktivnosti.
Da bi ostao neotkriven, Pro-Ocean koristi LD_PRELOAD, izvornu Linux funkciju koja prisiljava binarne datoteke da daju prioritet učitavanju određenih biblioteka. Metoda nije nova i stalno se viđa kod drugih malvera. Novi dio je taj što su programeri dalje primenjivali rootkit mogućnosti implementiranjem javno dostupnog koda koji pomaže prikrivanju zlonamernih aktivnosti. Jedan primjer odnosi se na “open” funkciju biblioteke „libc“, čiji je zadatak da otvori datoteku i vrati njen deskriptor. Istraživači su otkrili da zlonamerni kod određuje da li datoteku treba sakriti prij pozivanja „open“. Akteri koji stoje iza Pro-Ocean-a takođe su prešli sa ručnog iskorišćavanja žrtava na nerafinirani automatizovani proces. Python skripta uzima javnu IP adresu zaraženog računara koristeći ident.me servis, a zatim pokušava da zarazi sve mašine u istoj 16-bitnoj podmreži.
Koriste malware za Monero cryptomining
U tom procesu nema selekcije i napadači jednostavno bacaju public exploits na otkrivene domaćine nadajući se da će se jedan od njih primiti. Ako postoji uspešan exploit, Python skripta isporučuje payload koji preuzima instalacionu skriptu za Pro-Ocean sa udaljenog HTTP servera. Skripta za instalaciju, napisana na Bashu, igra važnu ulogu u Rockeovim cryprojacking operacijama. Osim što isporučuje Pro-Ocean, on takođe eliminiše konkurenciju ukidanjem drugog malvera i minera koji rade na zaraženom hostu. Pored toga, Pro-Ocean-u daje puni mrežni pristup brisanjem iptables firewalla i deinstaliranjem agenata za monitoring.
Cryptojacking hakeri takođe pokušavju da dobiju najviše snage za Monero mining. U tu svrhu, Pro-Ocean dolazi sa modulom koji nadgleda upotrebu CPU-a u toku pokretanja legitimnih procesa, ubijajući one koji koriste više od 30%. Isti modul osigurava što manje zastoja u procesu mininga, proverom da li je zlonamerni softver aktivan na mašini i njegovim pokretanjem ako nije. Iako zlonamerni softver trenutno koristi samo dvije ranjivosti, Palo Alto Networks kaže da bi se lista mogla proširiti i da bi Pro-Ocean mogao ciljati bilo koju aplikaciju u cloudu. Na osnovu analize, istraživači kažu da su ciljevi Pro-Ocean-a usluge Alibaba i Tencent clouda. Rocke Group su 2018. godine otkrili istraživači kompanije Cisco Talos. Iako nisu dostigli nivo sofisticiranosti drugog malvera, Rocke-ove cryptomining operacije evoluirale su tako da uključuju funkcije samoširenja i bolju taktiku skrivanja.
(PCpress via Bleepingcomputer)
