Os pesquisadores de segurança da unidade 42 estão de olho no grupo de cibercrime Rocke, com sede na China. Este grupo de hackers foi detectado em 2019 por usar malware direcionado à nuvem e, desde então, a empresa de pesquisa de segurança cibernética tinha o malware em seu radar.
Agora, mais uma vez, os especialistas detectaram que o grupo de hackers Rocke, com motivação financeira, está usando um novo malware de Cryptojacking chamado Pro-Ocean para atingir todos os servidores vulneráveis do Apache ActiveMQ , Oracle WebLogic e Redis.
O malware Pro-Ocean Cryptojacking agora surge com recursos avançados de rootkit e worm; não apenas isso, mas os portos agora estão usando as novas táticas de prevenção para contornar as empresas de segurança cibernética.
Malware
Este novo malware se disfarçou e contém um minerador XMRig, que é desacreditado por seu uso em todas as operações de Cryptojacking. É por isso que os especialistas em segurança também mencionaram alguns pontos importantes sobre o malware, e aqui estão eles: -
- Nesse malware, o binário está sendo coletado usando UPX, o que implica que o malware real é armazenado dentro do binário e extorquido e realizado durante a execução do binário.
- Este novo malware possui ferramentas de análise estática avançada que podem facilmente descompactar os binários UPX e verificar seu conteúdo. Mas neste alvo de Cryptojacking, a string mágica UPX foi removida do binário. Portanto, as ferramentas de análise estática não podem reconhecer esse binário como UPX e desembrulhá-lo.
- Nesse caso de malware, todos os módulos são compactados com gzip dentro do binário descompactado.
- Dentro do módulo gzipado, o binário XMRig está sendo empacotado e é empacotado pelo UPX que não tem a string mágica UPX.
O malware Pro-Ocean é formulado em Go, que é organizado com um binário de arquitetura x64 e geralmente tem como alvo os aplicativos de nuvem típicos, como Apache ActiveMQ, Oracle Weblogic e Redis.
Módulos e funções
Neste novo malware, existem quatro módulos do Pro-Ocean, e esses módulos são compactados com gzip dentro do binário e são removidos e executados um a um com quatro funções diferentes; e aqui estão as funções e os módulos mencionados abaixo: -
Quatro funções: -
- main_ReleaseExe
- main_ReleaseExelk
- main_ReleaseExerkt
- main_ReleaseExescan
Quatro módulos: -
- Módulo Rootkit
- Módulo de Mineração
- Módulo Watchdog
- Módulo de Infecção
Lista do software vulnerável
Os especialistas em segurança publicaram uma lista completa de softwares vulneráveis que a Pro-Ocean explorou e aqui os mencionamos abaixo: -
- Apache ActiveMQ - CVE-2016-3088.
- Oracle WebLogic - CVE-2017-10271.
- Redis - instâncias não seguras.
De acordo com o relatório que foi afirmado pelos especialistas, o Pro-Ocean também opera para eliminar a oposição matando outros malware e mineradores, e todos eles incluem Luoxk, BillGates, XMRig e Hashfish, e todos esses são executados no host negociado.
Além disso, este novo malware vem com um módulo de watchdog que está sendo escrito em Bash que garante a durabilidade e se encarrega de dispensar todos os processos que estão sendo utilizados por mais de 30% da CPU com o objetivo de minerar o Monero de forma eficiente.
Além disso, mais informações ainda devem ser extraídas, já que os especialistas estão tentando fazer circular todos os detalhes necessários sobre este malware. Portanto, a lista de softwares vulneráveis ainda não é finita; no entanto, esse malware é uma ilustração que demonstra as respostas de segurança baseadas em agentes dos provedores de nuvem.