Новости Новая вредоносная программа для криптоджекинга серверов Apache, Oracle и Redis Servers

Тема в разделе "Новости", создана пользователем Mr. Pickles, 7 фев 2021.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    970
    Симпатии:
    246
    1.jpg

    Финансово мотивированный злоумышленник, печально известный своими атаками, связанными с криптоджекингом, усовершенствовал свою версию вредоносной программы, целью которой теперь является облачная инфраструктура. По результатам проведённого исследования, программа использует уязвимости веб-серверов.

    Как было указано в отчёте, опубликованном во вторник исследователями из подразделения Unit 24 компании Palo Alto Networks Вредоносная программа под названием Pro-Ocean изначально была развёрнута китайской группой киберпреступников Rocke, и теперь она имеет усовершенствованный руткит и возможностями «червя», а также использует новые методы ухода от обнаружения компаниями, занимающимися вопросами кибербезопасности.

    «Pro-Ocean использует известные уязвимости, чтобы атаковать облачные приложения, — пояснили исследователи. — В результате проведённого нами анализа выяснилось, что целью Pro-Ocean являются Apache ActiveMQ (CVE-2016-3088), Oracle WebLogic (CVE-2017-10271) и Redis (незащищённые версии).»

    После установки вредоносная программа прерывает любой процесс, сильно загружающий CPU, чтобы на все 100% использовать его производительность для майнинга Monero».

    Впервые группа Rocke была обнаружена сотрудниками компании Cisco Talos. Она занималась распространением и использованием вредоносного программного обеспечения (ПО) с целью майнинга криптовалюты. ПО использовало различные инструменты, среди которых были репозитории Git и различная полезная нагрузка, такая как сценарии командной строки, бэкдоры JavaScript, а также портативные выполняемые файлы.

    2.jpg

    Если предыдущие версии вредоносного ПО были нацелены на поиск и удаление облачных программ Tencent Cloud и Alibaba Cloud, обеспечивающих безопасность, возможность использования уязвимостей в Apache Struts 2, Oracle WebLogic и Adobe ColdFusion программой Pro-Ocean расширила вектор атак за счёт способности поражать серверы Apache ActiveMQ, Oracle WebLogic и Redis.

    Помимо использования самораспространяющихся функций и улучшенных методов ухода от обнаружения, которые позволяют программе оставаться незамеченной и распространяться на незащищённое программное обеспечение, присутствующее в сети, после установки вредоносное ПО производит удаление осуществляющих мониторинг агентов, чтобы избежать обнаружения и удалить другие вредоносные программы и майнеры, присутствующие в заражённых системах.

    Для этого программа использует встроенную функцию Linux под названием LD_PRELOAD, что позволяет ей замаскировать свою вредоносную активность, библиотеку с именем Libprocesshider, чтобы оставаться не обнаруженной, и использует скрипт заражения, написанный на языке Python, который использует общедоступный IP-адрес машины для заражения всех машин, присутствующих в одной и той же 16-битной подсети (например, 10.0.X.X).

    Pro-Ocean также устраняет конкурентов, удаляя другие вредоносные программы и майнеры, включая Luoxk, BillGates, XMRig и Hashfish, которые присутствуют на взломанной хост-системе. Кроме того, программа имеет сторожевой таймер, написанный на Bash, обеспечивающий бесперебойность работы и отвечающий за завершение всех процессов, которые задействуют более 30% мощности CPU, с целью обеспечения эффективного майнинга Monero.

    «Это вредоносное ПО является характерным примером, демонстрирующим, что агентов безопасности, используемых провайдерами облачных сервисов, может быть недостаточно для предотвращения атак с применением вредоносных программ, нацеленных на общедоступную облачную инфраструктуру, — сказал исследователь Unit 42 Авив Сассон. — Данная версия позволяет злоумышленникам удалять некоторые агенты, используемые провайдерами облачных сервисов, и избегать таким образом обнаружения».

    ---

    Источник: New Cryptojacking Malware Targeting Apache, Oracle, Redis Servers

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.