Pro-Ocean malware

Infosec-forskere har fulgt Pro-Ocean Malware-truslen lige siden den først blev opdaget tilbage i 2019. Siden da har malware set adskillige opdateringer, der har udvidet dens truende funktioner såvel som dets detekterings-undgåelsesevner. I de nyeste versioner, der er blevet observeret i naturen, ser malware ud til nu også at være udstyret med en ormlignende spredningsrutine.

Pro-Ocean Malware er en del af den kriminelle aktivitet hos en bande hackere kaldet Rocke Group. Deres hovedmål er skyinfrastrukturer, hvis hardware derefter kapres og bruges til krypto-minedrift. Den oprindelige række af mål er blevet udvidet til at omfatte Apache ActiveMQ, Oracle WebLogic og Redis, en open source datastrukturbutik. Som en infektionsvektor bruger Pro-Ocean Malware kendte sårbarheder i specifikke skyapplikationer, såsom den kritiske fejl CVE-2016-3088, der findes i Apache ActiveMQ og den alvorlige CVE-2017-10271-sårbarhed i Oracle WebLogic.

Når vi er inde, aktiverer Pro-Ocean og begynder at ændre miljøet, så det passer bedre til dets behov. For det første slipper den for enhver potentiel konkurrence om ressourcer ved at fjerne andre krypto-mining malware-stammer - Luoxk, BillGates, XMRig og Hashfish. Alle legitime CPU-intensive processer vil også blive afsluttet. Når pladsen er ryddet, indsætter Pro-Ocean sin egen XMRig-nyttelast, der bruger CPU'en til det tilgængelige maksimale og begynder at generere Monero-mønter med det samme.

Pro-Ocean er stadig under udvikling

De nyeste versioner af Pro-Ocean består af fire forskellige komponenter. To af dem er stort set uberørt - minedriftsmodulet, der er ansvarligt for at køre XMRig-nyttelasten, og Watchdog-modulet udstyret med to Bash-scripts, der har til opgave at søge efter CPU-tung proces, som sørger for, at selve malware kører. De to andre komponenter udviser dog nogle nye evner.

Pro-Ocean har nu et infektionsmodul, der gør det muligt at sprede sig på en måde, der ligner en orm. Et Python-script bruges til først at erhverve den inficerede maskines offentlige IP-adresse ved hjælp af en onlinetjeneste placeret på 'ident.me' og derefter til at inficere andre enheder inden for det samme 16-bit undernet. Scriptet kører alle dets sårbarhedsudnyttelser den ene efter den anden og venter på at se, om nogen af dem med succes vil bryde en ikke-opdateret version af det respektive softwareprodukt.

Den sidste komponent i Pro-Ocean er et rootkit-modul. Som navnet antyder, er dets hovedopgave at implementere en rootkit-trussel. Imidlertid har hackerne fra Rocke Group nu tilføjet nye stealth-kapaciteter til det, der maskerer den truende aktivitet af truslen. Koden til de nye funktioner blev føjet til et dedikeret bibliotek kaldet 'Libprocesshider', der allerede var til stede i de ældre Pro-Ocean-versioner. En af de nye teknikker bestemmer, om filen skal skjules, når en åben libc-funktion er blevet kaldt. Hvis trusselens aktiviteter skal tilsløres, returneres en 'Ingen sådan fil eller mappe' -fejl, hvilket skaber indtryk af, at den pågældende fil simpelthen ikke findes på maskinen.