Rocke distribuye y ejecuta malware de minería criptográfica
Un actor de amenazas con motivaciones financieras conocido por sus ataques de criptojacking ha aprovechado una versión revisada de su malware para atacar las infraestructuras de la nube utilizando vulnerabilidades en las tecnologías de servidores web, según una nueva investigación.
Implementado por el grupo de ciberdelincuencia Rocke con sede en China, el malware de criptojacking Pro-Ocean ahora viene con capacidades mejoradas de rootkit y gusanos, además de albergar nuevas tácticas de evasión para eludir los métodos de detección de las empresas de ciberseguridad, dijeron los investigadores de la Unidad 42 de Palo Alto Networks en un artículo publicado el jueves.
"Pro-Ocean utiliza vulnerabilidades conocidas para apuntar a aplicaciones en la nube", detallaron los investigadores. "En nuestro análisis, encontramos Pro-Ocean apuntando a Apache ActiveMQ (CVE-2016-3088), Oracle WebLogic (CVE-2017-10271) y Redis (instancias no seguras)".
"Una vez instalado, el malware mata cualquier proceso que use mucho la CPU, de modo que pueda usar el 100% de la CPU y extraer Monero de manera eficiente".
Documentado por primera vez por Cisco Talos en 2018, se ha descubierto que Rocke distribuye y ejecuta malware de minería criptográfica utilizando un conjunto de herramientas variado que incluye repositorios de Git y diferentes cargas útiles como scripts de shell, puertas traseras de JavaScript, así como archivos ejecutables portátiles.
Si bien las variantes anteriores del malware confiaban en la capacidad de apuntar y eliminar productos de seguridad en la nube desarrollados por Tencent Cloud y Alibaba Cloud mediante la explotación de fallas en Apache Struts 2, Oracle WebLogic, y Adobe ColdFusion, Pro-Ocean ha aumentado la amplitud de esos vectores de ataque apuntando a los servidores Apache ActiveMQ, Oracle WebLogic y Redis.
Además de sus características de propagación automática y mejores técnicas de ocultación que le permiten permanecer bajo el radar y propagarse a software sin parches en la red, el malware, una vez instalado, se propone desinstalar agentes de monitoreo para esquivar la detección y eliminar otros malware y mineros de los sistemas infectados.
Para lograr esto, aprovecha una característica nativa de Linux llamada LD_PRELOAD para enmascarar su actividad maliciosa, una biblioteca llamada Libprocesshider para permanecer oculta y utiliza un script de infección de Python que toma la IP pública de la máquina para infectar todas las máquinas en la misma subred de 16 bits (por ejemplo, 10.0.X.X).
Pro-Ocean también trabaja para eliminar la competencia al eliminar otros malware y mineros, incluidos Luoxk, BillGates, XMRig y Hashfish, que se ejecutan en el host comprometido. Además, viene con un módulo de vigilancia escrito en Bash que asegura la persistencia y se encarga de terminar todos los procesos que utilizan más del 30% de la CPU con el objetivo de minar Monero de manera eficiente.
"Este malware es un ejemplo que demuestra que las soluciones de seguridad basadas en agentes de los proveedores de la nube pueden no ser suficientes para prevenir el malware evasivo dirigido a la infraestructura de la nube pública", dijo el investigador de la Unidad 42, Aviv Sasson. "Esta muestra tiene la capacidad de eliminar los agentes de algunos proveedores de nube y evadir su detección".
