Threat Database Malware Pro-Ocean Malware

Pro-Ocean Malware

Os pesquisadores de Infosec têm seguido a ameaça do Pro-Ocean Malware desde que foi descoberta pela primeira vez em 2019. Desde então, o malware viu várias atualizações que expandiram suas funcionalidades ameaçadoras, bem como suas habilidades de prevenção de detecção. Nas versões mais recentes que foram observadas em liberdade, o malware parece agora também ter sido equipado com uma rotina de propagação semelhante a um worm.

O Malware Pro-Ocean faz parte das atividades criminosas de uma gangue de hackers chamada Rocke Group. Seus principais alvos são infraestruturas em nuvem, cujo hardware é então sequestrado e usado para criptografia. A gama inicial dos alvos foi expandida para incluir Apache ActiveMQ, Oracle WebLogic e Redis, um armazenamento de estrutura de dados de código aberto. Como um vetor de infecção, o Pro-Ocean Malware usa vulnerabilidades conhecidas em aplicativos na Nuvem específicos, tais como a falha crítica CVE-2016-3088 encontrada no Apache ActiveMQ e a vulnerabilidade CVE-2017-10271 grave no Oracle WebLogic.

Uma vez dentro, o Pro-Ocean é ativado e começa a modificar o ambiente para melhor atender às suas necessidades. Primeiro, ele se livra de qualquer competição potencial por recursos, removendo outras cepas de malware de mineração de criptografia - Luoxk, BillGates, XMRig e Hashfish. Todos os processos legítimos com uso intensivo de CPU também serão encerrados. Quando o espaço é liberado, a Pro-Ocean implanta sua própria carga útil XMRig que utiliza a CPU ao máximo disponível e começa a gerar moedas Monero imediatamente.

O Pro-Ocean Ainda está sendo Desenvolvido

As versões mais recentes do Pro-Ocean consistem em quatro componentes diferentes. Dois deles permaneceram praticamente intocados - o módulo de mineração responsável por executar a carga útil do XMRig e o módulo Watchdog equipado com dois scripts Bash com a tarefa de pesquisar processos pesados da CPU, que garantem que o próprio malware esteja em execução. Os outros dois componentes, entretanto, exibem algumas novas habilidades.

O Pro-Ocean agora tem um módulo de infecção que permite que ele se espalhe de maneira semelhante a um verme. Um script Python é usado para primeiro adquirir o endereço IP público da máquina infectada por meio do uso de um serviço online localizado em 'ident.me' e, em seguida, infectar outros dispositivos na mesma sub-rede de 16 bits. O script executa todos os exploits de vulnerabilidade, um após o outro, esperando para ver se algum deles violará com êxito uma versão sem patch do respectivo produto de software.

O último componente do Pro-Ocean é um módulo rootkit. Como o nome sugere, sua principal tarefa é implantar uma ameaça de rootkit. No entanto, os hackers do Rocke Group agora adicionaram novos recursos furtivos para mascarar a atividade ameaçadora da ameaça. O código dos novos recursos foi adicionado a uma biblioteca dedicada chamada 'Libprocesshider' que já estava presente nas versões mais antigas do Pro-Ocean. Uma das novas técnicas determina se o arquivo precisa ser ocultado quando uma função libc aberta for chamada. Se as atividades da ameaça tiverem que ser ofuscadas, um erro 'Não existe esse arquivo ou diretório' será retornado, criando a impressão de que o arquivo em questão simplesmente não existe na máquina.

Tendendo

Mais visto

Carregando...