Hackerii dezactivează sistemele de securitate pentru a ascunde malware care minează criptomonede
Un grup de hackeri dezactivează software-ul de securitate pentru a nu fi detectați când instalează malware care minează criptomonede.
O nouă formă de malware care minează criptomonede are abilitatea de a dezactiva software-ul de securitate pentru a nu fi detectat și pentru a crește șansele de minare fără a fi descoperit. Este pentru prima dată când este descoperit un astfel de atac, conform cercetătorilor de la firma de securitate Palo Alto Networks, divizia de cercetare Unit 42 care au oferit mai multe detalii tehnice despre această campanie, scrie zdnet.com.
Această familie de malware care minează Monero – pare să fie legată de Xbash – țintește infrastructura cloud publică de pe serverele Linux, obțin control la nivel de administrator asupra gazdelor și forțează dezinstalarea produselor de securitate la fel ca un administrator legitim.
Dar nu sunt vizat toate formele de software de securitate. Malware-ul vizează cinci produse de securitate cloud diferite de la firmele chineze Tencent și Alibaba în ceea ce arată a fi o selectare a unor ținte specifice. Malware-ul este livrat prin exploatarea unor vulnerabilități cunoscute ale Apache Struts 2, Oracle WebLogic și Adobe ColdFusion.
Grupul de hackeri care se află în spatele malware-ului este cunoscut în industria de securitate sub numele Rocke și este activ din aprilie 2018, fiind cunoscut pentru exploatarea celor trei aplicații, scrie csoonline.com.
Odată obținut accesul la server, atacatorii instalează malware-ul pentru Linux sau Windows (în funcție de sistemul de operare folosit de server) folosind shell script. Cercetătorii Palo Alto Networks au analizat acest script, care pare să aibă legătură cu malware-ul Xbash creat de un alt grupe de hackeri, numit Iron. Cu toate acestea, Rocke se diferențiază prin dezinstalarea software-ului de protecție cloud înaintea instalării programului care minează moneda.
Cele cinci soluții de securitate vizate sunt: Alibaba Threat Detection Service; Alibaba CloudMonitor, care monitorizează procesorul, folosirea memoriei și conectivitatea rețelei; Alibaba Cloud Assistant, care este folosit pentru administrarea automată a cloud-ului; Tencent Host Security și Tencent Cloud Monitor.
Se pare că tehnica de evitare a detecției pentru mediile cloud a hackerilor a evoluat în timp. La început a fost implementat doar pentru Tencent Cloud Monitor, dar nu a fost eficient și atunci au folosit și implementat instrucțiunile de dezinstalare de pe site-urile Tencent și Alibaba.
