Malware Pro-Ocean

I ricercatori di Infosec hanno seguito la minaccia Pro-Ocean Malware sin da quando è stata scoperta per la prima volta nel 2019. Da allora, il malware ha visto diversi aggiornamenti che hanno ampliato le sue funzionalità minacciose, nonché le sue capacità di evitamento del rilevamento. Nelle ultime versioni che sono state osservate in natura, il malware sembra essere stato dotato anche di una routine di diffusione simile a un worm.

Il Pro-Ocean Malware fa parte delle attività criminali di una banda di hacker chiamata Rocke Group. I loro obiettivi principali sono le infrastrutture cloud il cui hardware viene poi dirottato e utilizzato per il crypto-mining. La gamma iniziale di obiettivi è stata ampliata per includere Apache ActiveMQ, Oracle WebLogic e Redis, un archivio di strutture dati open source. Come vettore di infezione, Pro-Ocean Malware utilizza vulnerabilità note in specifiche applicazioni cloud, come il difetto critico CVE-2016-3088 riscontrato in Apache ActiveMQ e la grave vulnerabilità CVE-2017-10271 in Oracle WebLogic.

Una volta dentro, Pro-Ocean si attiva e inizia a modificare l'ambiente per adattarlo meglio alle sue esigenze. Innanzitutto, elimina qualsiasi potenziale concorrenza per le risorse rimuovendo altri ceppi di malware di crypto mining: Luoxk, BillGates, XMRig e Hashfish. Verranno terminati anche tutti i processi legittimi ad alta intensità di CPU. Quando lo spazio è stato liberato, Pro-Ocean distribuisce il proprio payload XMRig che utilizza la CPU al massimo disponibile e inizia a generare immediatamente monete Monero.

Pro-Ocean è ancora in fase di sviluppo

Le ultime versioni di Pro-Ocean sono costituite da quattro diversi componenti. Due di questi sono rimasti in gran parte invariati: il modulo minerario responsabile dell'esecuzione del payload XMRig e il modulo Watchdog dotato di due script Bash incaricati di cercare processi pesanti per la CPU, che assicurano che il malware stesso sia in esecuzione. Gli altri due componenti, tuttavia, mostrano alcune nuove abilità.

Pro-Ocean ora dispone di un modulo di infezione che gli consente di diffondersi in modo simile a un worm. Uno script Python viene utilizzato per acquisire prima l'indirizzo IP pubblico della macchina infetta attraverso l'uso di un servizio online situato in "ident.me" e quindi per infettare altri dispositivi all'interno della stessa sottorete a 16 bit. Lo script esegue tutti i suoi exploit di vulnerabilità uno dopo l'altro in attesa di vedere se qualcuno di essi violerà con successo una versione senza patch del rispettivo prodotto software.

L'ultimo componente di Pro-Ocean è un modulo rootkit. Come suggerisce il nome, il suo compito principale è distribuire una minaccia rootkit. Tuttavia, gli hacker del Rocke Group hanno ora aggiunto nuove funzionalità invisibili che mascherano l'attività minacciosa della minaccia. Il codice delle nuove funzionalità è stato aggiunto a una libreria dedicata chiamata "Libprocesshider" che era già presente nelle versioni precedenti di Pro-Ocean. Una delle nuove tecniche determina se il file deve essere nascosto quando è stata chiamata una funzione libc open. Se le attività della minaccia devono essere offuscate, verrà restituito un errore "Nessun file o directory tale", creando l'impressione che il file in questione semplicemente non esista sulla macchina.