Vuelve el cryptojacking Pro-Ocean para atacar servidores Apache, Oracle y Redis

Vuelve el cryptojacking Pro-Ocean para atacar servidores Apache, Oracle y Redis

El conocido cryptojacking Pro-Ocean ha vuelto a ser detectado en una versión revisada y mejorada para atacar servidores Apache ActiveMQ (CVE-2016-3088), Oracle WebLogic (CVE-2017-10271) y Redis (instancias inseguras).

Desarrollado por el grupo de ciberdelincuentes con sede en China, Rocke, la nueva versión de Pro-Ocean llega con capacidades mejoradas de rootkit y gusanos, además de albergar nuevas tácticas de evasión para eludir los métodos de detección de las empresas de ciberseguridad, alertan los investigadores de la Unidad 42 de Palo Alto Networks en un informe. 

Documentado por primera vez por Cisco Talos en 2018, se ha descubierto que Rocke distribuye y ejecuta malware de minería criptográfica utilizando un variado conjunto de herramientas que incluye repositorios Git y diferentes cargas útiles como scripts de shell, puertas traseras de JavaScript, así como archivos ejecutables portátiles.

«Pro-Ocean utiliza vulnerabilidades conocidas para apuntar a aplicaciones en la nube. Una vez instalado, el malware para cualquier proceso que use una gran cantidad de CPU de modo que pueda usar casi el 100% de la misma para realizar minado de criptomonedas de la manera más eficiente», explican.

Si bien las variantes anteriores del malware confiaban en la capacidad de apuntar y eliminar productos de seguridad en la nube desarrollados por Tencent Cloud y Alibaba Cloud mediante la explotación de fallas en Apache Struts 2, Oracle WebLogic y Adobe ColdFusion, Pro-Ocean ha ampliado la amplitud de esos vectores de ataque. apuntando a los servidores Apache ActiveMQ, Oracle WebLogic y Redis.

Además de sus características de propagación automática y mejores técnicas de ocultación que le permiten permanecer bajo el radar y propagarse en la red desinstalando agentes de monitoreo para esquivar la detección y eliminando otros malware y mineros de los sistemas infectados.

Es otra de las «cualidades» de este Pro-Ocean, su capacidad para eliminar la competencia de otros malware de cryptojacking, incluidos Luoxk, BillGates, XMRig y Hashfish, que se estén ejecutando en el host comprometido. Además, incluye un módulo de vigilancia escrito en Bash que asegura la persistencia y se encarga de terminar todos los procesos que utilizan más del 30% de los procesadores para realizar el minado de criptomonedas de manera más eficiente.

«Este malware es un ejemplo que demuestra que las soluciones de seguridad basadas en agentes de los proveedores de la nube pueden no ser suficientes para prevenir el malware evasivo dirigido a la infraestructura de la nube pública», dijeron desde Palo Alto Networks. «Esta muestra tiene la capacidad de eliminar los agentes de algunos proveedores de nube y evadir su detección».