Недавно обнаруженная программа криптоджекинга использует новую хитрость, чтобы избежать обнаружения и майнить криптовалюту XMR на облачных серверах.
Два исследователя, Синюй Цзинь (Xingyu Jin) и Клауд Сяо (Claud Xiao) из фирмы Palo Alto Networks, специализирующейся на кибербезопасности, опубликовали в четверг отчет, в котором раскрывается информация о вредоносном ПО Rocke group, которое нацелено на общедоступную облачную инфраструктуру. После загрузки оно получает административный контроль, чтобы сначала удалить продукты облачной информационной безопасности, а затем внедрить код, который добывает криптовалюту монеро.
Исследователи обнаружили, что Rocke внедрила код для удаления пяти различных продуктов облачной безопасности с зараженных серверов Linux, включая предложения ведущих китайских облачных провайдеров, Alibaba и Tencent. В дополнение к этому вредоносная программа выполняет действия по удалению, описанные в руководствах пользователя по продуктам.
Чтобы осуществить эти действия, группа Rocke использует уязвимости в приложениях Apache Struts 2, Oracle WebLogic и Adobe ColdFusion, а затем загружает сценарий оболочки с именем «a7». Это выводит из строя конкурентные майнеры и скрывает признаки присутствия ПО, а также отключает программы обеспечения безопасности. Исследователи добавили:
«Насколько нам известно, это первое семейство вредоносных программ, которое разработало уникальную возможность отслеживания и удаления продуктов облачной безопасности».
Вредоносная программа группы Rocke была впервые обнаружена IT-гигантом Cisco и Talos Intelligence Group еще в августе. В то время исследователь Talos Дэвид Либенберг (David Liebenberg) заявил, что Rocke «продолжит использовать репозитории Git для загрузки и осуществления незаконного майнинга на компьютерах жертв».
В ноябре исследование израильской компании Check Point Software Technologies, специализирующейся на кибербезопасности, показало, что вредоносное ПО для добычи монеро под названием KingMiner со временем «развивается», чтобы избежать обнаружения. Monero популярнее всего у мошенников, когда речь идет о незаконных операциях по добыче криптовалют, и около 5% существующих XMR (что составляет доход в $57 миллионов для преступников) были добыты незаконным путем.
По данным последнего отчета Check Point Software Technologies, криптоджекинг в 13-й раз занял первое место в списке киберугроз. Кроме того, в декабре Лаборатория Касперского сообщала, что количество случаев криптоджекинга за 2018 год выросло в четыре раза. О росте популярности криптоджекинга заявляли и другие исследователи, например, компания McAfee, которая объявила в конце 2018 года, что количество программ криптоджекинга выросло более чем в 40 раз. Кроме того, по данным антивирусной компании Trend Micro количество криптомайнинговых атак выросло на 956% с первой половины 2017 года до первого полугодия 2018 года.
