網(wǎng)絡(luò)犯罪團(tuán)伙 Rocke 正在利用一種名為 Pro-Ocean 的新型礦工，攻擊存在漏洞的 Apache ActiveMQ、Oracle WebLogic 和 Redis。該惡意軟件是門羅幣礦工，該礦工于 2019 年首次被 Unit 42 研究人員發(fā)現(xiàn)。

新的惡意軟件實(shí)現(xiàn)了諸多改進(jìn)如 Rootkit 和蠕蟲功能，繼續(xù)利用諸如 Oracle WebLogic(CVE-2017-10271)和 Apache ActiveMQ(CVE-2016-3088)等已知漏洞來擴(kuò)大感染量。

“Pro-Ocean 使用已知的漏洞來攻擊云主機(jī)。在我們的分析中，找到了針對(duì) Apache ActiveMQ(CVE-2016-3088)、Oracle WebLogic(CVE-2017-10271)和 Redis(不安全實(shí)例)的惡意軟件 Pro-Ocean”。 Palo Alto Networks 的安全研究人員如是說。“如果惡意軟件在騰訊云或阿里云中運(yùn)行，它將首先卸載監(jiān)控的 agent，以避免被檢測(cè)到”。

安裝前，Pro-Ocean 嘗試刪除其他惡意軟件，例如 Luoxk、BillGates、XMRig 和 Hashfish。安裝后，Pro-Ocean 會(huì)嘗試終止大量占用 CPU 的進(jìn)程。

安裝腳本使用 Bash 編寫的，并且經(jīng)過混淆處理。代碼分析表明，這是專門針對(duì)云主機(jī)而設(shè)計(jì)的，其目標(biāo)包括阿里云和騰訊云。

腳本執(zhí)行的功能：

• 嘗試刪除其他惡意軟件和礦工(例如 Luoxk、BillGates、XMRig 和 Hashfish)
• 清除可能由其他惡意軟件設(shè)置的所有定時(shí)任務(wù)
• 禁用 iptables，以便惡意軟件可以完全訪問互聯(lián)網(wǎng)
• 如果該惡意軟件在騰訊云或阿里云中運(yùn)行，卸載監(jiān)視程序以避免被檢測(cè)到
• 查找 SSH 密鑰傳播感染新的計(jì)算機(jī)。

為了避免被發(fā)現(xiàn)，礦工使用 LD_PRELOAD 來逃避檢測(cè)。

Pro-Ocean 部署 XMRig Miner 5.11.1 挖掘門羅幣，與 2019 年使用的版本不同，它使用 Python 腳本來實(shí)現(xiàn)蠕蟲的功能。

該腳本通過請(qǐng)求 ident.me 來獲取失陷主機(jī)的公網(wǎng) IP 地址，然后嘗試傳播同一子網(wǎng)中的所有計(jì)算機(jī)。

Palo Alto Networks 的研究人員認(rèn)為，攻擊者后續(xù)可能會(huì)擴(kuò)大漏洞利用的范圍，來攻擊盡可能多的云主機(jī)。自從 Rocke Group 在 2018 年被 Cisco Talos 披露，就在不斷更新挖礦和檢測(cè)逃避技術(shù)。

參考來源：

• PaloAltoNetworks
• SecurityAffairs