Kryptojacking-Malware, die auf Cloud-Apps abzielt, erhält neue Upgrades und Wurmfähigkeit

  • Eine Kryptojacking-Malware mit einer Vorliebe für Cloud-Anwendungen hat einige Updates erhalten, die ihre Verbreitung erleichtern und es Unternehmen erschweren, zu erkennen, wenn ihre Cloud-Anwendungen gekapert wurden.

    Neue Forschungsergebnisse von Palo Alto’s Unit 42 zeigen, wie Pro-Ocean, das in den Jahren 2018 und 2019 verwendet wurde, um illegal Monero von infizierten Linux-Maschinen zu schürfen, vom Bedrohungsakteur Rocke Group in aller Stille aktualisiert wurde, nachdem es in den letzten Jahren von Cisco Talos und anderen Bedrohungsforschern aufgedeckt wurde.

    Pro-Ocean besteht aus vier Modulen, die jeweils unterschiedliche Ziele verfolgen: das Verstecken der Malware, das Mining von Monero, die Infizierung weiterer Anwendungen und die Suche nach anderen Prozessen, die die CPU belasten, und deren Deaktivierung, damit die Malware effizienter minen kann.

    Es nutzt bekannte, jahrelange Schwachstellen in Apache Active MQ, Oracle WebLogic, Redis und anderen Cloud-Anwendungen aus, um einen versteckten XMRig-Miner in Cloud-Umgebungen einzusetzen. Er kann auch leicht aktualisiert und angepasst werden, um andere Cloud-Anwendungen anzugreifen.

    Ältere Versionen der Malware waren bereits in der Lage, nach agentenbasierten Cloud-Sicherheitsprodukten zu suchen und diese zu deinstallieren und gleichzeitig andere Kryptomining-Software, die sich möglicherweise eingeschlichen hat, zu entfernen oder zu deaktivieren. Die neueste Version der Malware tut dies immer noch, aber jetzt verwendet sie auch eine Reihe von neuen Verschleierungsschichten, um sich vor Netzwerkverteidigern zu verstecken.

    Erstens komprimiert er die Malware innerhalb des Binärcodes und extrahiert und führt sie nur während des Binärprozesses aus. Während einige Tools UPX-Code entpacken und auf Malware scannen können, löscht Pro-Ocean die Zeichenfolgen, die statische Analysetools zur Identifizierung verwenden. Es gzippt außerdem jedes Modul und versteckt den Cryptominer in einem dieser Module, was es für IT-Sicherheitsteams zunehmend schwieriger macht, etwas Bösartiges zu erkennen, bevor die Nutzlast bereitgestellt wird.

    “Diese Malware ist ein Beispiel dafür, dass die agentenbasierten Sicherheitslösungen von Cloud-Anbietern möglicherweise nicht ausreichen, um ausweichende Malware zu verhindern, die auf öffentliche Cloud-Infrastrukturen abzielt”, schreibt Unit 42 Senior Security Researcher Aviv Sasson. “Wie wir gesehen haben, ist dieses Beispiel in der Lage, die Agenten einiger Cloud-Anbieter zu löschen und sich ihrer Erkennung zu entziehen.”

    Außerdem kopiert sich diese neue Version der Malware an neue Speicherorte und erstellt einen neuen Dienst, der die Malware dauerhaft ausführt, wenn sie ausgeschaltet ist. Sie verfügt auch über neue Wurm-Fähigkeiten, indem sie mithilfe eines Python-Skripts andere Rechner im selben Subnetz findet und automatisch eine Reihe von öffentlich bekannten Exploits durchläuft, um so viele wie möglich zu infizieren.

    Das alles ergibt eine leistungsfähigere, sich schneller verbreitende und schwerer zu fangende Version von Cryptojacking-Malware, einer Geißel, die weitgehend im Hintergrundrauschen der meisten IT-Abläufe existiert, aber wertvolle Rechenleistung aus dem Geschäftsbetrieb abziehen und Unternehmen anfälliger für andere Formen digitaler Angriffe machen kann. Obwohl es notorisch schwierig ist, den wahren Fußabdruck und die Kosten von Cryptojacking zu messen, war es laut Daten von Trend Micro noch in der ersten Hälfte des Jahres 2019 die am häufigsten entdeckte dateibasierte Bedrohung.

    Während es um die Rocke Group im vergangenen Jahr ruhig war, sagte Sasson, dass das überarbeitete Tool und die wachsende Angriffsfläche, die durch neue Cloud-Anwendungen geschaffen wurde, bedeutet, dass wir in Zukunft wahrscheinlich nur mehr dieser Angriffe sehen werden. Die Untersuchung von Unit 42 umfasst Indikatoren für eine Kompromittierung, bösartige Datei-Hashes und andere Ressourcen, die Netzwerkverteidigern helfen, die Präsenz von Pro-Ocean zu erkennen.

    “Cryptojacking-Malware, die auf die Cloud abzielt, entwickelt sich weiter, da Angreifer das Potenzial dieser Umgebung für das Mining von Kryptomünzen erkennen”, schreibt er. “Wir haben bereits einfachere Angriffe durch die Rocke Group gesehen, aber es scheint, dass diese Gruppe eine kontinuierliche, wachsende Bedrohung darstellt.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com