挖矿恶意软件Pro-Ocean瞄准ActiveMQ、WebLogic和Redis
网络犯罪团伙 Rocke 正在利用一种名为 Pro-Ocean 的新型矿工,攻击存在漏洞的 Apache ActiveMQ、Oracle WebLogic和Redis。该恶意软件是门罗币矿工,该矿工于 2019 年首次被 Unit 42 研究人员发现。
新的恶意软件实现了诸多改进如 Rootkit 和蠕虫功能,继续利用诸如 Oracle WebLogic(CVE-2017-10271)和ApacheActiveMQ(CVE-2016-3088)等已知漏洞来扩大感染量。
“Pro-Ocean 使用已知的漏洞来攻击云主机。在我们的分析中,找到了针对 ApacheActiveMQ(CVE-2016-3088)、OracleWebLogic(CVE-2017-10271)和 Redis(不安全实例)的恶意软件 Pro-Ocean”。 Palo Alto Networks的安全研究人员如是说。“如果恶意软件在腾讯云或阿里云中运行,它将首先卸载监控的agent,以避免被检测到”。
安装前,Pro-Ocean 尝试删除其他恶意软件,例如 Luoxk、BillGates、XMRig 和 Hashfish。安装后,Pro-Ocean会尝试终止大量占用 CPU 的进程。
安装脚本使用 Bash 编写的,并且经过混淆处理。代码分析表明,这是专门针对云主机而设计的,其目标包括阿里云和腾讯云。
脚本执行的功能:
- 尝试删除其他恶意软件和矿工(例如 Luoxk、BillGates、XMRig 和 Hashfish)
- 清除可能由其他恶意软件设置的所有定时任务
- 禁用 iptables,以便恶意软件可以完全访问互联网
- 如果该恶意软件在腾讯云或阿里云中运行,卸载监视程序以避免被检测到
- 查找 SSH 密钥传播感染新的计算机。
为了避免被发现,矿工使用 LD_PRELOAD 来逃避检测。
Pro-Ocean 部署 XMRig Miner 5.11.1 挖掘门罗币,与 2019 年使用的版本不同,它使用 Python脚本来实现蠕虫的功能。
该脚本通过请求 ident.me 来获取失陷主机的公网 IP 地址,然后尝试传播同一子网中的所有计算机。
Palo Alto Networks 的研究人员认为,攻击者后续可能会扩大漏洞利用的范围,来攻击尽可能多的云主机。自从 Rocke Group 在2018年被 Cisco Talos 披露,就在不断更新挖矿和检测逃避技术。
参考来源:
- PaloAltoNetworks
- SecurityAffairs
鸿蒙官方战略合作共建——HarmonyOS技术社区
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10
相关文章
- 对中东石油和天然气供应链产业的APT攻击
- Gartner发布2020年端点安全技术成熟度曲线报告
- 苹果手机微信聊天记录删除了怎么恢复?
- 专访 HackerOne COO 王宁:尊重规则是漏洞平台成功的秘诀,欢迎更多成人网站进驻 | 宅客
- Win10搜索没有结果
- Edge浏览器总是出现选择以设置Adobe flash
- 王者荣耀中如何赠送好友英雄?
- 加密解密那些事之SSL(https)中的对称加密与非对称加密
- Getright 5 手动脱壳和重建IAT--第一部分(图)
- 内存不能为read修复方法 解决内存不能为read
- 软件安装过程出现错误,无法修改系统设置
- 技嘉遭勒索软件攻击 黑客威胁称不支付赎金就公开112GB内部数据
- 解决Win10专业版系统更新后网络变慢的问题
- 齐向东:数字经济开采“数据富矿”要安全第一、守住红线
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1深度技术 Windows 10 x86 企业版 元旦特别 电脑城装机版2021年1月(32位) ISO镜像免费下载
- 2雨林木风Ghost Win8.1 (32位) 全新纯净版2018年7月(自动激活) 最新版ISO镜像下载
- 3番茄花园Ghost Win8.1 (X32) 纯净版2022年7月(免激活) ISO镜像免费下载
- 4番茄花园GhostWin7 SP1电脑城极速装机版2022年7月(32位) 最新高速下载
- 5新萝卜家园 GhostWin7 SP1 电脑城极速稳定版2020年6月(32位) ISO镜像高速下载
- 6笔记本&台式机专用系统GhostWin7 64位六一节 旗舰版2021年6月(64位) 高速下载
- 7番茄花园Ghost Win8.1 (X64) 推荐纯净版2018年05(无需激活) ISO镜像免费下载
- 8电脑公司Ghost Win8.1 X64位 纯净版2021年4月(自动激活) ISO镜像快速下载
- 9新萝卜家园Ghost Win8.1 X64位 纯净版2021年2月(自动激活) ISO镜像高费下载
- 10笔记本&台式机专用系统 GhostWin7 32位六一节 旗舰版2021年6月(32位) ISO镜像免费下载