最近观察到的一种恶意软件使用了一种新的技巧来避免在云服务器上检测和挖掘加密货币。
来自网络安全公司Palo Alto Networks的两位研究人员Xingyu Jin和Claud Xiao 周四发表了一份报告称,来自被称为Rocke集团的坏人的一些令人讨厌的软件正在瞄准公共云基础设施。下载后,需要管理控制才能首先卸载云安全产品,然后注入挖掘monero加密货币的代码。
研究人员发现,Rocke恶意软件注入代码,用于从受感染的Linux服务器卸载五种不同的云安全产品 - 包括来自中国顶级云提供商,阿里巴巴和腾讯的产品。恶意软件加重了伤害,遵循产品用户手册中规定的卸载步骤。
为了完成恶意工作,Rocke小组利用Apache Struts 2,Oracle WebLogic和Adobe ColdFusion应用程序中的漏洞,然后下载一个名为“a7”的shell脚本。这会击败我们的竞争对手加密矿工,并隐藏其存在的迹象,以及作为禁用安全程序。
研究人员补充说:
“据我们所知,这是第一个开发出针对和删除云安全产品的独特功能的恶意软件系列。”
Rocke集团的恶意软件是 由IT巨头思科的Talos Intelligence Group在8月份首次发现的。当时Talos研究员David Liebenberg表示,Rocke将“继续利用Git存储库下载并对受害机器进行非法采矿。”
早在去年11月,总部位于以色列的网络安全公司Check Point Software Technologies的研究表明,一种名为KingMiner的monero挖掘恶意软件正在不断发展以避免被发现。
Monero仍然是黑客中最受欢迎的加密货币。上周,大学研究人员的一项研究表明,黑客已经开采了至少4.32%的monero。
迈克菲于去年12月发布的一项研究表明,加密漏洞采集恶意软件的案例去年增长了4,000多%。
,
