Pro-Ocean Malware

Onderzoekers van Infosec volgen de Pro-Ocean Malware-dreiging sinds deze voor het eerst werd ontdekt in 2019. Sindsdien heeft de malware verschillende updates ondergaan die de bedreigende functionaliteiten en de mogelijkheden om detectie te vermijden hebben uitgebreid. In de nieuwste versies die in het wild zijn waargenomen, lijkt de malware nu ook te zijn uitgerust met een wormachtige verspreidingsroutine.

De Pro-Ocean Malware maakt deel uit van de criminele activiteiten van een bende hackers genaamd Rocke Group. Hun belangrijkste doelwitten zijn cloud-infrastructuren waarvan de hardware vervolgens wordt gekaapt en gebruikt voor cryptomining. De aanvankelijke reeks doelen is uitgebreid met Apache ActiveMQ, Oracle WebLogic en Redis, een open-source datastructuurarchief. Als infectievector gebruikt de Pro-Ocean Malware bekende kwetsbaarheden in specifieke cloudtoepassingen, zoals de kritieke fout CVE-2016-3088 in Apache ActiveMQ en de ernstige kwetsbaarheid CVE-2017-10271 in Oracle WebLogic.

Eenmaal binnen wordt Pro-Ocean geactiveerd en begint het de omgeving aan te passen aan zijn behoeften. Ten eerste verwijdert het alle mogelijke concurrentie om middelen door andere soorten cryptomining-malware te verwijderen - Luoxk, BillGates, XMRig en Hashfish. Alle legitieme CPU-intensieve processen worden ook beëindigd. Wanneer er ruimte is vrijgemaakt, zet Pro-Ocean zijn eigen XMRig-payload in die de CPU tot het beschikbare maximum gebruikt en onmiddellijk Monero-munten begint te genereren.

Pro-Ocean is nog in ontwikkeling

De nieuwste versies van Pro-Ocean bestaan uit vier verschillende componenten. Twee van hen zijn grotendeels onaangetast gebleven - de mijnbouwmodule die verantwoordelijk is voor het uitvoeren van de XMRig-payload en de Watchdog-module die is uitgerust met twee Bash-scripts die moeten zoeken naar CPU-zware processen, die ervoor zorgen dat de malware zelf wordt uitgevoerd. De andere twee componenten vertonen echter enkele nieuwe vaardigheden.

Pro-Ocean heeft nu een infectiemodule waarmee het zich op dezelfde manier als een worm kan verspreiden. Een Python-script wordt gebruikt om eerst het openbare IP-adres van de geïnfecteerde machine te verkrijgen via een online service op 'ident.me' en vervolgens om andere apparaten binnen hetzelfde 16-bits subnet te infecteren. Het script voert al zijn kwetsbaarheidsexploitaties een voor een uit, wachtend om te zien of een van hen met succes een niet-gepatchte versie van het respectieve softwareproduct zal doorbreken.

Het laatste onderdeel van Pro-Ocean is een rootkit-module. Zoals de naam doet vermoeden, is het de belangrijkste taak om een rootkit-bedreiging in te zetten. De hackers van de Rocke Group hebben er nu echter nieuwe stealth-mogelijkheden aan toegevoegd die de dreigende activiteit van de dreiging maskeren. De code van de nieuwe functies is toegevoegd aan een speciale bibliotheek genaamd 'Libprocesshider' die al aanwezig was in de oudere Pro-Ocean-versies. Een van de nieuwe technieken bepaalt of het bestand verborgen moet worden wanneer een libc-functie open wordt aangeroepen. Als de activiteiten van de dreiging moeten worden verduisterd, wordt de foutmelding 'Geen bestand of map niet' geretourneerd, waardoor de indruk wordt gewekt dat het betreffende bestand gewoon niet op de machine bestaat.