挖矿恶意软件Pro-Ocean瞄准ActiveMQ、WebLogic和Redis

安全 漏洞 Redis
网络犯罪团伙 Rocke 正在利用一种名为 Pro-Ocean 的新型矿工,攻击存在漏洞的 Apache ActiveMQ、Oracle WebLogic 和 Redis。

网络犯罪团伙 Rocke 正在利用一种名为 Pro-Ocean 的新型矿工,攻击存在漏洞的 Apache ActiveMQ、Oracle WebLogic 和 Redis。该恶意软件是门罗币矿工,该矿工于 2019 年首次被 Unit 42 研究人员发现。

新的恶意软件实现了诸多改进如 Rootkit 和蠕虫功能,继续利用诸如 Oracle WebLogic(CVE-2017-10271)和 Apache ActiveMQ(CVE-2016-3088)等已知漏洞来扩大感染量。


“Pro-Ocean 使用已知的漏洞来攻击云主机。在我们的分析中,找到了针对 Apache ActiveMQ(CVE-2016-3088)、Oracle WebLogic(CVE-2017-10271)和 Redis(不安全实例)的恶意软件 Pro-Ocean”。 Palo Alto Networks 的安全研究人员如是说。“如果恶意软件在腾讯云或阿里云中运行,它将首先卸载监控的 agent,以避免被检测到”。


安装前,Pro-Ocean 尝试删除其他恶意软件,例如 Luoxk、BillGates、XMRig 和 Hashfish。安装后,Pro-Ocean 会尝试终止大量占用 CPU 的进程。

安装脚本使用 Bash 编写的,并且经过混淆处理。代码分析表明,这是专门针对云主机而设计的,其目标包括阿里云和腾讯云。


脚本执行的功能:

  • 尝试删除其他恶意软件和矿工(例如 Luoxk、BillGates、XMRig 和 Hashfish)
  • 清除可能由其他恶意软件设置的所有定时任务
  • 禁用 iptables,以便恶意软件可以完全访问互联网
  • 如果该恶意软件在腾讯云或阿里云中运行,卸载监视程序以避免被检测到
  • 查找 SSH 密钥传播感染新的计算机。

为了避免被发现,矿工使用 LD_PRELOAD 来逃避检测。


Pro-Ocean 部署 XMRig Miner 5.11.1 挖掘门罗币,与 2019 年使用的版本不同,它使用 Python 脚本来实现蠕虫的功能。


该脚本通过请求 ident.me 来获取失陷主机的公网 IP 地址,然后尝试传播同一子网中的所有计算机。


Palo Alto Networks 的研究人员认为,攻击者后续可能会扩大漏洞利用的范围,来攻击尽可能多的云主机。自从 Rocke Group 在 2018 年被 Cisco Talos 披露,就在不断更新挖矿和检测逃避技术。

参考来源:

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2015-11-09 10:02:12

XcodeGhostiOS 9

2021-11-18 14:01:25

网络安全数据技术

2022-05-05 09:00:00

加密货币区块链Echelon

2023-05-06 18:29:37

2021-08-10 10:37:43

恶意软件挖矿网络攻击

2021-01-04 13:23:56

僵尸网络加密货币漏洞

2015-11-04 14:59:18

XcodeGhost恶意软件iOS 9

2023-06-28 10:13:23

2023-02-07 17:29:59

2022-06-15 11:54:43

恶意软件Windows

2013-05-15 14:19:58

2021-02-26 09:45:48

恶意软件黑客网络攻击

2021-05-13 09:30:54

攻击恶意软件恶意挖矿

2020-07-15 09:24:49

漏洞恶意软件DDoS攻击

2023-07-04 11:12:21

2021-06-25 10:00:19

Python 存储库恶意软件

2022-05-12 09:45:41

网络钓鱼网络攻击供应链攻击

2021-10-22 11:52:26

加密货币NPM数字货币

2022-02-09 11:10:06

云计算服务恶意软件

2018-11-19 05:05:38

点赞
收藏

51CTO技术栈公众号