بر اساس تحقیقات جدید یک عامل تهدید با انگیزه مالی مشهور به حملات cryptojacking، از نسخه بدافزار خود استفاده کرده است تا زیرساخت‌های ابری را با استفاده از آسیب‌پذیری در فنآوری‌های وب‌سرور هدف قرار دهد.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: malware.jpg
مشاهده: 0
حجم: 39.9 کیلو بایتمحققان واحد ۴۲ پالو آلتو گفتند: این بدافزار رمزنگاری Pro-Ocean که توسط گروه جرایم اینترنتی Rocke مستقر در چین منتشر شده است، اکنون دارای قابلیت‌های بهبود یافته rootkit و worm است و همچنین از تاکتیک‌های جدید فرار برای دور زدن روش‌های شناسایی شرکت‌های امنیت سایبری برخوردار است.

Pro-Ocean از آسیب‌پذیری‌های شناخته شده برای هدف قرار دادن برنامه‌های ابری استفاده می‌کند. در تجزیه و تحلیل‌ها ما Pro-Ocean را پیدا کردیم که (Apache ActiveMQ (CVE-2016-3088) ،Oracle WebLogic (CVE-2017-10271 و Redis را هدف قرار داده است.

پس از نصب، بدافزار هر فرآیندی را که به شدت از CPU استفاده می‌کند از بین می‌برد، به طوری که می‌تواند از ۱۰۰٪ CPU برای استخراج Monero به طور موثر استفاده کند.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: cyber.jpg
مشاهده: 0
حجم: 64.1 کیلو بایتدر حالی که انواع قبلی این بدافزار توانایی هدف‌گیری و حذف محصولات امنیتی ابری را که توسط Tencent Cloud و Alibaba Cloud با بهره‌برداری از نقص Apache Struts 2 ، Oracle WebLogic و Adobe ColdFusion تولید شده‌اند ارائه می‌دهد، Pro-Ocean دامنه وکتورهای حمله را با هدف قرار دادن سرورهای Apache ActiveMQ ، Oracle WebLogic و Redis گسترش داده است.

علاوه بر ویژگی‌های self-spreading و تکنیک‌های بهتر پنهان‌سازی که به آن امکان می‌دهد زیر رادار بماند و به نرم‌افزارهای غیرقابل نصب در شبکه سرایت کند، بدافزار پس از نصب مجموعه‌هایی در مورد حذف نصب عوامل نظارت، برای طفره رفتن از شناسایی و حذف سایر بدافزارها و استخراج کنندگان از سیستم‌های آلوده اقدام می‌کند.

برای دستیابی به این هدف، از یک ویژگی بومی لینوکس به نام LD_PRELOAD بهره می‌برد تا فعالیت مخرب خود را مخفی نگه دارد، کتابخانه‌ای به نام Libprocesshider از اسکریپت infection پایتون استفاده می‌کند که IP عمومی دستگاه را می‌گیرد تا همه ماشین‌ها را در همان شبکه فرعی (به عنوان مثال ، ۱۰.۰.X.X) شانزده بیتی آلوده کند.

Pro-Ocean همچنین با از بین بردن بدافزارها و ماینرهای دیگر از جمله Luoxk ،BillGates ،XMRig و Hashfish بر روی میزبان برای از بین بردن رقابت تلاش می‌کند. علاوه بر این، با یک ماژول ناظر که به زبان Bash نوشته شده است دوام را تضمین می‌کند و تمام فرایندهایی که بیش از ۳۰٪ CPU را با هدف استخراج کارآمد Monero استفاده می‌کنند را پایان می‌دهد.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

92

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *