Οι χειριστές ενός γνωστού cryptojacking malware που στοχεύει cloud υπηρεσίες, το έχουν εξελίξει και του έχουν προσθέσει δυνατότητες worm, ώστε να εξαπλώνεται ευκολότερα και να εντοπίζεται δυσκολότερα από τους οργανισμούς.
Σύμφωνα με έρευνα της Palo Alto’s Unit 42, η ομάδα Rocke Group έχει ενημερώσει το cryptojacking malware Pro-Ocean, το οποίο είχε χρησιμοποιηθεί κατά τη διάρκεια του 2018 και του 2019 για την παράνομη εξόρυξη Monero από μολυσμένα μηχανήματα Linux.
Το Pro-Ocean αποτελείται από τέσσερα modules, που εξυπηρετούν διαφορετικούς σκοπούς: απόκρυψη malware, εξόρυξη Monero, μόλυνση περισσότερων εφαρμογών και αναζήτηση και απενεργοποίηση άλλων διαδικασιών που επηρεάζουν την CPU, ώστε το κακόβουλο λογισμικό να κλέβει Monero πιο αποτελεσματικά.
Το malware εκμεταλλεύεται γνωστές, παλιές ευπάθειες σε Apache Active MQ, Oracle WebLogic, Redis και άλλες cloud εφαρμογές για την ανάπτυξη ενός XMRig miner σε περιβάλλοντα cloud. Μπορεί, επίσης, να προσαρμοστεί εύκολα για να επιτεθεί σε άλλες εφαρμογές cloud.
Ήδη οι παλαιότερες εκδόσεις του cryptojacking malware μπορούσαν να αναζητήσουν και να απεγκαταστήσουν προϊόντα ασφάλειας cloud, καθώς και να απενεργοποιήσουν οποιοδήποτε άλλο πιθανό cryptomining malware. Φυσικά, και η νέα έκδοση διαθέτει αυτές τις δυνατότητες αλλά και πρόσθετα επίπεδα συγκάλυψης, τα οποία δυσκολεύουν τον εντοπισμό.
“Αυτό το κακόβουλο λογισμικό είναι ένα παράδειγμα που καταδεικνύει ότι οι λύσεις ασφαλείας παρόχων cloud ενδέχεται να μην είναι αρκετές για την αποφυγή κακόβουλου λογισμικού που στοχεύει σε δημόσια υποδομή cloud“, γράφει ο ανώτερος ερευνητής του Unit 42, Aviv Sasson.
Επιπλέον, αυτή η νέα έκδοση αντιγράφει το malware σε νέες τοποθεσίες και δημιουργεί μια νέα υπηρεσία που θα εκτελεί το κακόβουλο λογισμικό εάν είναι απενεργοποιημένο.
Όπως είπαμε και παραπάνω, οι χειριστές του τού πρόσθεσαν και δυνατότητες worm, χρησιμοποιώντας ένα Python script για να βρει άλλα μηχανήματα στο ίδιο υποδίκτυο.
Η ομάδα Rocke Group ήταν αρκετά “ήσυχη” τον τελευταίο χρόνο, αλλά το ενημερωμένο cryptojacking malware δείχνει ότι μάλλον θα δούμε πολλές περισσότερες επιθέσεις.
“Το cryptojacking malware που στοχεύει cloud εξελίσσεται καθώς οι εισβολείς κατανοούν τις δυνατότητες αυτού του περιβάλλοντος για εξόρυξη cryptocurrency“, έγραψε. “Έχουμε δει στο παρελθόν απλούστερες επιθέσεις από τη Rocke Group, αλλά φαίνεται ότι αυτή η ομάδα αποτελεί μια συνεχή, αυξανόμενη απειλή“.
Πηγή: SC Media