网络犯罪组织Rocke正在使用一种名为Pro-Ocean的新矿工来攻击易受攻击的ApacheActiveMQ、OracleWebLogic和Redis。该恶意软件是Monero矿工,于2019年首次被Unit42研究人员发现。新恶意软件实现了Rootkit和蠕虫功能等多项改进,并继续利用OracleWebLogic(CVE-2017-10271)和ApacheActiveMQ等已知漏洞(CVE-2016-3088)以增加感染量。“Pro-Ocean利用已知漏洞攻击云主机。在我们的分析过程中,我们发现了针对ApacheActiveMQ(CVE-2016-3088)、OracleWebLogic(CVE-2017-10271)和Redis(不安全实例)恶意软件Pro-Ocean的攻击。PaloAltoNetworks的安全研究人员如是说。如果恶意软件运行在腾讯云或阿里云,它会先卸载监控代理以避免检测。在安装之前,Pro-Ocean会尝试删除其他恶意软件,如Luoxk、BillGates、XMRig和Hashfish。一旦安装,Pro-Ocean试图终止CPU密集型进程,安装脚本使用Bash编写,经过混淆处理,代码分析表明,它是专门为云主机设计的,目标包括阿里云和腾讯云。脚本的作用:试图移除其他恶意软件和矿工(例如Luoxk、BillGates、XMRig和Hashfish)清除所有可能由其他恶意软件设置的cron作业禁用iptables以便恶意软件可以完全访问互联网或在阿里云中运行,卸载监控程序以避免被检测到寻找SSH密钥来传播和感染新计算机。为了避免检测,矿工使用LD_PRELOAD来逃避检测。Pro-Ocean部署了XMRigMiner5.11.1来挖门罗币,与2019年使用的版本不同,它使用Python脚本来实现蠕虫的功能。该脚本通过请求ident.me获取受感染主机的公共IP地址,然后尝试传播到同一子网中的所有计算机。PaloAltoNetworks的研究人员认为,攻击者可能会扩大攻击范围,攻击尽可能多的云主机。自2018年RockeGroup被CiscoTalos披露以来,挖矿和检测规避技术不断更新。参考来源:PaloAltoNetworksSecurityAffairs
