Pro-Ocean Malware

Infosec-Forscher verfolgen die Bedrohung durch Pro-Ocean-Malware seit ihrer ersten Entdeckung im Jahr 2019. Seitdem wurden mehrere Updates für die Malware veröffentlicht, die ihre Bedrohungsfunktionen sowie ihre Fähigkeiten zur Vermeidung von Erkennung erweitert haben. In den neuesten Versionen, die in freier Wildbahn beobachtet wurden, scheint die Malware nun auch mit einer wurmartigen Ausbreitungsroutine ausgestattet worden zu sein.

Die Pro-Ocean Malware ist Teil der kriminellen Aktivitäten einer Hacker-Bande namens Rocke Group. Ihre Hauptziele sind Cloud-Infrastrukturen, deren Hardware dann entführt und für das Crypto-Mining verwendet wird. Der anfängliche Zielbereich wurde um Apache ActiveMQ, Oracle WebLogic und Redis, einen Open-Source-Datenstrukturspeicher, erweitert. Als Infektionsvektor verwendet die Pro-Ocean Malware bekannte Sicherheitslücken in bestimmten Cloud-Anwendungen, z. B. den kritischen Fehler CVE-2016-3088 in Apache ActiveMQ und die schwerwiegende Sicherheitsanfälligkeit CVE-2017-10271 in Oracle WebLogic.

Sobald Pro-Ocean drinnen ist, wird es aktiviert und beginnt, die Umgebung an ihre Bedürfnisse anzupassen. Erstens wird jede potenzielle Konkurrenz um Ressourcen beseitigt, indem andere Crypto-Mining-Malware-Stämme entfernt werden - Luoxk, BillGates, XMRig und Hashfish. Alle legitimen CPU-intensiven Prozesse werden ebenfalls beendet. Wenn der Speicherplatz freigegeben wurde, stellt Pro-Ocean seine eigene XMRig-Nutzlast bereit, die die CPU maximal nutzt und sofort mit der Generierung von Monero-Münzen beginnt.

Pro-Ocean wird noch entwickelt

Die neuesten Versionen von Pro-Ocean bestehen aus vier verschiedenen Komponenten. Zwei davon sind weitgehend unberührt geblieben - das Mining-Modul, das für die Ausführung der XMRig-Nutzdaten verantwortlich ist, und das Watchdog-Modul, das mit zwei Bash-Skripten ausgestattet ist, die nach CPU-lastigen Prozessen suchen sollen, um sicherzustellen, dass die Malware selbst ausgeführt wird. Die beiden anderen Komponenten weisen jedoch einige neue Fähigkeiten auf.

Pro-Ocean verfügt jetzt über ein Infektionsmodul, mit dem es sich ähnlich wie ein Wurm ausbreiten kann. Ein Python-Skript wird verwendet, um zuerst die öffentliche IP-Adresse des infizierten Computers mithilfe eines Onlinedienstes unter 'ident.me' abzurufen und dann andere Geräte innerhalb desselben 16-Bit-Subnetzes zu infizieren. Das Skript führt alle Schwachstellen-Exploits nacheinander aus und wartet darauf, ob einer von ihnen eine nicht gepatchte Version des jeweiligen Softwareprodukts erfolgreich verletzt.

Die letzte Komponente von Pro-Ocean ist ein Rootkit-Modul. Wie der Name schon sagt, besteht die Hauptaufgabe darin, eine Rootkit-Bedrohung bereitzustellen. Die Hacker der Rocke Group haben jetzt jedoch neue Stealth-Funktionen hinzugefügt, die die bedrohliche Aktivität der Bedrohung maskieren. Der Code der neuen Funktionen wurde einer dedizierten Bibliothek namens "Libprocesshider" hinzugefügt, die bereits in den älteren Pro-Ocean-Versionen vorhanden war. Eine der neuen Techniken bestimmt, ob die Datei ausgeblendet werden muss, wenn eine geöffnete libc-Funktion aufgerufen wurde. Wenn die Aktivitäten der Bedrohung verschleiert werden müssen, wird der Fehler "Keine solche Datei oder kein solches Verzeichnis" zurückgegeben, wodurch der Eindruck entsteht, dass die betreffende Datei einfach nicht auf dem Computer vorhanden ist.