Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Специалисты считают, что зловред нацелен на инфраструктуру китайских сервисов Alibaba Cloud и Tencent Cloud.
Необычный сценарий атаки на серверы под управлением Linux обнаружили эксперты исследовательской группы Unit 42. Зловред, нацеленный на установку майнера, не проявляет вредоносной активности на зараженном компьютере, пока не получит права администратора и не удалит системы безопасности облачных сервисов. Аналитики связывают кампанию с группировкой Rocke, специализирующейся на криптоджекинге цифровой валюты Monero.
Нападение начинается с эксплуатации одной из известных уязвимостей в серверных продуктах для Linux, таких как Apache Struts 2 или Adobe ColdFusion. В качестве примера исследователи привели атаку с использованием дыры CVE-2017-10271 в сервере приложений Oracle WebLogic. Брешь позволяет относительно легко скомпрометировать целевую систему через протокол T3 и получить на ней права администратора.
После взлома на компьютер доставляется бэкдор, который запускает программную оболочку и связывается с командным сервером. Полученный из центра управления вредоносный скрипт прописывается в автозагрузке при помощи Linux-утилиты cron, выгружает из памяти другие майнеры и добавляет для них правила блокировки, чтобы предотвратить повторный запуск. Далее зловред ищет на устройстве пять ИБ-продуктов, связанных с облачными сервисами, и деинсталлирует их.
Вредоносный скрипт удаляет с устройства утилиты:
Программы разработаны китайскими облачными сервисами Alibaba Cloud и Tencent Cloud для предотвращения атак на свою инфраструктуру со стороны клиентских хостов. Как выяснили аналитики, зловред выполняет легитимные процедуры удаления агентов безопасности, описанные в руководстве пользователя, так же, как это сделал бы администратор сервера.
Избавившись от системы защиты, которая могла бы детектировать вредоносную активность, скрипт загружает с командного сервера криптомайнер. Исследователи не уточняют, какую именно программу для генерации монет используют киберпреступники, однако в предыдущих атаках Rocke применяли XMRig и Stratum.
Специалисты отмечают, что удаление агентов безопасности облачных сервисов подчеркивает нацеленность киберпреступников на атаки сетевых хранилищ. Особое беспокойство экспертов вызывает связь Rocke с группировкой Iron, ответственной за кампании с применением многофункционального зловреда XBash. Программа, сочетающая в себе функции сетевого червя, вымогателя и майнера криптовалюты, способна атаковать компьютеры под управлением Windows, Linux и macOS. Не исключено, что выявленная Unit 42 кампания является лишь подготовительным этапом для более масштабной атаки на пользователей Alibaba и Tencent.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |