Группировка Rocke продолжает атаковать необновленные серверы через старые известные уязвимости.
Действующая в целях обогащения киберпреступная группировка Rocke атакует уязвимые установки Apache ActiveMQ, Oracle WebLogic и Redis с помощью нового вредоносного ПО для криптоджекинга под названием Pro-Ocean. Переход на использование Pro-Ocean является большим шагом вперед для Rocke, так как вредонос способен распространяться автоматически, подобно червю, пытаясь проэксплуатировать уязвимости на всех попадающихся на его пути машинах.
Хотя в арсенале группировки появилось новое вредоносное ПО, ее тактика осталась неизменной – хакеры по-прежнему атакуют облачные приложения и эксплуатируют известные уязвимости для захвата контроля над Oracle WebLogic (CVE-2017-10271) и Apache ActiveMQ (CVE-2016-3088). Кроме того, их интересуют уязвимые установки Redis.
Как сообщают специалисты Palo Alto Networks, Pro-Ocean оснащен «новыми улучшенными функциями руткита и червя», позволяющими вредоносу скрывать свою активность и распространяться в сети через необновленное ПО.
Для сокрытия вредоносной активности Pro-Ocean использует LD_PRELOAD – «родную» функцию Linux, заставляющую двоичный код приоритизировать загрузку определенных библиотек. Данный метод не является новым и используется разными вредоносными программами. Однако в случае с Pro-Ocean разработчики расширили возможности руткита, скрыв вредоносную активность с помощью публично доступного кода.
В качестве одного из примеров исследователи привели функцию ‘open’ в библиотеке ‘libc’ для открытия файла и возвращения его дескриптора. Вредоносный код способен определять, нужно ли скрыть файл, прежде чем вызывать функцию ‘open’. Определив, что файл нужно скрыть, вредоносная функция возвращает сообщение об ошибке «Файл или директория отсутствуют», как если бы запрашиваемый файл не существовал вовсе.
Как уже упоминалось выше, Pro-Ocean способен распространяться автоматически подобно червю. С помощью сервиса ident.me Python-скрипт определяет публичный IP-адрес зараженной машины и пытается инфицировать все системы в одной с ней 16-битной подсети. Попытки заражения осуществляются наугад, без какого-либо отбора.
В случае успеха Python-скрипт доставляет полезную нагрузку, загружающую скрипт для инсталляции Pro-Ocean с удаленного HTTP-сервера. Этот скрипт, написанный на Bash и обфусцированный, играет важную роль в проводимых Rocke операциях криптоджекинга. Он не только устанавливает Pro-Ocean, но также отключает другие запущенные на системе вредоносные программы и майнеры. Кроме того, скрипт предоставляет Pro-Ocean полный доступ, удаляя iptables и деинсталлируя агенты мониторинга, которые могут засечь аномальную активность.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале