新型加密劫持恶意软件 Pro-Ocean 针对 Oracle WebLogic 安装程序

网络犯罪组织Rocke正在使用一种名为Pro-Ocean的新的加密劫持恶意软件，以针对易受攻击的Apache ActiveMQ，Oracle WebLogic和Redis安装程序。

该恶意软件是Monero加密货币矿工的演变，该矿工于2019年首次被Unit 42研究人员发现。

该恶意软件实现了新的、改进的rootkit和蠕虫功能，它继续通过利用诸如Oracle WebLogic（CVE-2017-10271）和Apache ActiveMQ（CVE-2016-3088）服务器等已知漏洞来锁定云应用程序。

“ Pro-Ocean使用已知的漏洞来定位云应用程序。在我们的分析中，我们找到了针对Apache ActiveMQ（CVE-2016-3088），Oracle WebLogic（CVE-2017-10271）和Redis（不安全实例）的Pro-Ocean。” 读取Palo Alto Networks发布的分析。“如果恶意软件在腾讯云或阿里云中运行，它将使用先前恶意软件的确切代码来卸载监视代理程序以避免被检测到。”

在安装之前，Pro-Ocean还将尝试删除其他恶意软件，例如Luoxk，BillGates，XMRig和Hashfish。安装后，恶意代码将尝试杀死大量占用CPU的进程。

安装脚本是用Bash编写的，并且经过混淆处理，它用于执行多项任务，为部署Pro-Ocean矿机做好准备。对代码的分析表明，它是专门针对云应用程序而设计的，其目标包括阿里云和腾讯云。

在脚本执行的任务列表下方：

1. 尝试删除其他恶意软件和矿工（例如Luoxk，BillGates，XMRig和Hashfish）。
2. 清除可能由其他恶意软件设置的所有cron任务。
3. 禁用 iptables 防火墙，以便恶意软件可以完全访问Internet。
4. 如果该恶意软件在腾讯云或阿里云中运行，它将使用先前恶意软件的确切代码卸载监视代理程序以避免被检测到。
5. 查找SSH密钥并尝试使用它们以感染新计算机。

为了避免检测，加密货币Monero矿工使用本机Linux功能LD_PRELOAD。

“ LD_PRELOAD强制二进制文件先加载特定的库，从而允许预加载的库覆盖任何库中的任何函数。使用LD_PRELOAD的方法之一是将精心制作的库添加到/etc/ld.so.preload。” 继续分析。

Pro-Ocean部署了XMRig矿工5.11.1来开采Monero，与2019年的变体不同，它使用Python感染脚本来实现“蠕虫”功能。

该脚本通过查询在线服务“ident.me”来检索受感染计算机的IP公共地址，然后尝试感染同一16位子网（例如10.0.XX）中的所有机器。恶意代码试图对子网中的每台计算机执行公共攻击。

成功利用上述漏洞后，Python脚本将提供有效负载，该负载可下载另一个脚本，该脚本从远程HTTP服务器获取Pro-Ocean。

Palo Alto Networks 的研究人员认为，威胁行为者可能会扩大漏洞的范围，以利用漏洞来针对尽可能多的云应用程序。

至少从2018年开始，rockgroup就一直活跃于思科Talos，随着时间的推移，他们的加密业务已经发展出了新功能和规避技术。

“随着攻击者了解该环境挖掘加密货币的潜力，针对云的加密劫持恶意软件正在发展。之前，我们曾见过Rocke Group较为简单的攻击，但似乎该组织提出了持续不断的威胁。这种针对云的恶意软件并不常见，因为它具有蠕虫和rootkit功能。” 总结报告。“我们可以假设，对云的复杂攻击的增长趋势将继续。”