六方云知识库

威胁预警:Rocke恶意组织新型加密劫持软件Pro-Ocean对云应用实施勒索攻击

2021年02月01日 14:57

一、事件详情

Rocke恶意组织正在使用新型加密劫持恶意软件Pro-Ocean攻击Apache ActiveMQ,Oracle WebLogic以及Redis。该恶意软件是Monero加密货币矿工的演变,该矿工于2019年首次被Unit 42研究人员发现。


而Pro-Ocean实现了改进的rootkit和蠕虫功能,利用Oracle WebLogic漏洞(CVE-2017-10271)和Apache ActiveMQ漏洞(CVE-2016-3088)来锁定云应用程序。同时研究发现,如果恶意软件在腾讯云或阿里云中运行,它将使用先前恶意软件的确切代码卸载监控代理,以避免被检测到。在安装之前,Pro-Ocean还将尝试删除其他恶意软件,例如Luoxk,BillGates,XMRig和Hashfish,安装后,恶意代码将尝试杀死大量占用CPU的进程。


malware.jpg


安装脚本是用Bash编写的,并且经过混淆处理,它用于执行多项任务,为部署Pro-Ocean矿机做好准备,通过研究发现,它是专门针对云应用程序而设计的,其目标包括阿里云和腾讯云。该脚本主要恶意行为如下所示:

1.尝试删除其他恶意软件和矿工(例如Luoxk,BillGates,XMRig和Hashfish);

2.清除可能由其他恶意软件设置的所有cron任务;

3.禁用 iptables 防火墙,以便恶意软件可以完全访问Internet;

4.如果该恶意软件在腾讯云或阿里云中运行,它将使用先前恶意软件的确切代码卸载监视代理程序以避免被检测到;

5.查找SSH密钥并尝试使用它们以感染新计算机;

6.为了避免检测,加密货币Monero矿工使用本机Linux功能LD_PRELOAD。


二、影响范围


使用如下应用组件的云服务存在安全风险:
OracleWeblogic Server 10.3.6 0
Oracle Weblogic Server 12.2.1.2
OracleWeblogic Server 12.2.1.1
OracleWeblogic Server 12.1.3.0
ApacheActiveMQ 5.14.0之前5.x版本的Fileserver Web应用

三、严重等级


六方云超弦实验室评级为:中危


四、处置方法


1、考虑更新Oracle WeblogicServer与Apache ActiveMQ版本,避免被攻击;

2、避免采用基于有代理的云安全防护方案,建议采用基于无代理的零信任微隔离防护方案,比如六方云云盾产品。

五、参考链接

关于恶意软件Pro-Ocean更多内容:

https://threatpost.com/rocke-groups-malware-now-has-worm-capabilities/163463/
-END-


more

手机扫码打开

logo