Wireless Attacks

[Wireless Attacks][bsummary]

WHATSAPP

[WHATSAPP][twocolumns]

SISTEMA OPERACIONAL

[SISTEMA OPERACIONAL][bleft]

CURSOS

[CURSOS][grids]

Novo malware Cryptojacking ataca os servidores Apache, Oracle, Redis Servers

 



Os pesquisadores de segurança da unidade 42 estão de olho no grupo de cibercrime Rocke, com sede na China. Este grupo de hackers foi detectado em 2019 por usar malware direcionado à nuvem e, desde então, a empresa de pesquisa de segurança cibernética tinha o malware em seu radar.

Agora, mais uma vez, os especialistas detectaram que o grupo de hackers Rocke, com motivação financeira, está usando um novo malware de Cryptojacking chamado Pro-Ocean para atingir todos os servidores vulneráveis ​​do Apache ActiveMQ , Oracle WebLogic e Redis.

O malware Pro-Ocean Cryptojacking agora surge com recursos avançados de rootkit e worm; não apenas isso, mas os portos agora estão usando as novas táticas de prevenção para contornar as empresas de segurança cibernética.

Malware

Este novo malware se disfarçou e contém um minerador XMRig, que é desacreditado por seu uso em todas as operações de Cryptojacking. É por isso que os especialistas em segurança também mencionaram alguns pontos importantes sobre o malware, e aqui estão eles: -

  • Nesse malware, o binário está sendo coletado usando UPX, o que implica que o malware real é armazenado dentro do binário e extorquido e realizado durante a execução do binário.
  • Este novo malware possui ferramentas de análise estática avançada que podem facilmente descompactar os binários UPX e verificar seu conteúdo. Mas neste alvo de Cryptojacking, a string mágica UPX foi removida do binário. Portanto, as ferramentas de análise estática não podem reconhecer esse binário como UPX e desembrulhá-lo.
  • Nesse caso de malware, todos os módulos são compactados com gzip dentro do binário descompactado.
  • Dentro do módulo gzipado, o binário XMRig está sendo empacotado e é empacotado pelo UPX que não tem a string mágica UPX.

O malware Pro-Ocean é formulado em Go, que é organizado com um binário de arquitetura x64 e geralmente tem como alvo os aplicativos de nuvem típicos, como Apache ActiveMQ, Oracle Weblogic e Redis.

Módulos e funções

Neste novo malware, existem quatro módulos do Pro-Ocean, e esses módulos são compactados com gzip dentro do binário e são removidos e executados um a um com quatro funções diferentes; e aqui estão as funções e os módulos mencionados abaixo: -

Quatro funções: -

  • main_ReleaseExe
  • main_ReleaseExelk
  • main_ReleaseExerkt
  • main_ReleaseExescan

Quatro módulos: -

  • Módulo Rootkit
  • Módulo de Mineração
  • Módulo Watchdog
  • Módulo de Infecção

Lista do software vulnerável

Os especialistas em segurança publicaram uma lista completa de softwares vulneráveis ​​que a Pro-Ocean explorou e aqui os mencionamos abaixo: -

  • Apache ActiveMQ - CVE-2016-3088.
  • Oracle WebLogic - CVE-2017-10271.
  • Redis - instâncias não seguras.

De acordo com o relatório que foi afirmado pelos especialistas, o Pro-Ocean também opera para eliminar a oposição matando outros malware e mineradores, e todos eles incluem Luoxk, BillGates, XMRig e Hashfish, e todos esses são executados no host negociado. 

Além disso, este novo malware vem com um módulo de watchdog que está sendo escrito em Bash que garante a durabilidade e se encarrega de dispensar todos os processos que estão sendo utilizados por mais de 30% da CPU com o objetivo de minerar o Monero de forma eficiente.

Além disso, mais informações ainda devem ser extraídas, já que os especialistas estão tentando fazer circular todos os detalhes necessários sobre este malware. Portanto, a lista de softwares vulneráveis ​​ainda não é finita; no entanto, esse malware é uma ilustração que demonstra as respostas de segurança baseadas em agentes dos provedores de nuvem.


Nenhum comentário :