Необычный сценарий атаки на серверы под управлением Linux обнаружили эксперты подразделения Unit 42 компании Palo Alto Networks. Зловред, нацеленный на установку майнера, не проявляет вредоносной активности на зараженном компьютере, пока не получит права администратора и не удалит системы безопасности облачных сервисов. Аналитики связывают кампанию с группировкой Rocke, специализирующейся на криптоджекинге.

Нападение начинается с эксплуатации одной из известных уязвимостей в серверных продуктах для Linux, таких как Apache Struts 2 или Adobe ColdFusion. В качестве примера исследователи привели атаку с использованием дыры CVE-2017-10271 в сервере приложений Oracle WebLogic. Брешь позволяет относительно легко скомпрометировать целевую систему через протокол T3 и получить на ней права администратора.

После взлома на сервер внедряется бэкдор, который запускает программную оболочку и связывается с командным сервером. Полученный из центра управления вредоносный скрипт прописывается в автозагрузке при помощи Linux-утилиты cron, выгружает из памяти другие майнеры и добавляет для них правила блокировки, чтобы предотвратить повторный запуск. Далее зловред ищет на устройстве пять ИБ-продуктов, связанных с облачными сервисами, и деинсталлирует их.

Вредоносный скрипт удаляет с устройства утилиты:

  • Alibaba Threat Detection Service agent
  • Alibaba CloudMonitor agent
  • Alibaba Cloud Assistant agent
  • Tencent Host Security agent
  • Tencent Cloud Monitor agent

Программы разработаны китайскими облачными сервисами Alibaba Cloud и Tencent Cloud для предотвращения атак на свою инфраструктуру со стороны клиентских хостов. Как выяснили аналитики, зловред выполняет легитимные процедуры удаления агентов безопасности, описанные в руководстве пользователя, так же, как это сделал бы администратор сервера.

Избавившись от системы защиты, которая могла бы детектировать вредоносную активность, скрипт загружает с командного сервера криптомайнер. Исследователи не уточняют, какую именно программу для генерации монет используют киберпреступники, однако в предыдущих атаках Rocke применяли XMRig и Stratum.

Специалисты отмечают, что удаление агентов безопасности облачных сервисов подчеркивает нацеленность киберпреступников на атаки на сетевые хранилища. Особое беспокойство экспертов вызывает связь Rocke с группировкой Iron, ответственной за кампании с применением многофункционального зловреда XBash. Программа, сочетающая в себе функции сетевого червя, вымогателя и майнера криптовалюты, способна атаковать компьютеры под управлением Windows, Linux и macOS. Не исключено, что выявленная Unit 42 кампания является лишь подготовительным этапом для более масштабной атаки на пользователей Alibaba и Tencent.

Категории: Аналитика, Вредоносные программы