พบระบบรักษาความปลอดภัยบนคลาวด์ถูกถอนการติดตั้งโดยมัลแวร์ Cryptomining

Xingyu Jin และ Claud Xiao นักวิจัย Unit 42 จาก Palo Alto Network ได้พบการโจมตีของมัลแวร์ Cryptomining โดยมีเป้าหมายอยู่ที่เซิร์ฟเวอร์ที่ใช้ระบบปฏิบัติการลีนุกซ์

มัลแวร์ตัวนี้ถูกใช้โดยกลุ่มแฮกเกอร์ที่ชื่อว่า Rocke ซึ่งเป็นกลุ่มแฮกเกอร์จากจีน โดยจะใช้ Git เป็นตัวกระจายมัลแวร์ Cryptomining ที่มีการเข้ารหัสแบบ Monero ไปยังเซิร์ฟเวอร์ต่างๆ ที่มีช่องโหว่ซึ่งได้แก่ Apache Struts 2, Oracle WebLogic และ Adobe ColdFusion

เมื่อเหยื่อดาวน์โหลดมัลแวร์มันจะติดตั้งคำคำสั่ง และควบคุมการเชื่อมต่อของเซิร์ฟเวอร์ จากนั้นทำการดาวน์โหลด shell script ที่ชื่อว่า “a7” บนระบบ

“a7” นี้จะทำเริ่มทำการโจมตีซึ่งอาจจะทำลายกระบวนการ cryptomining อื่นที่กำลังดำเนินการอยู่บนระบบ หรืออสจจะดาวน์โหลด หรือรัน coin-miner และซ่อนการดำเนินการนี้บนระบบลีนุกซ์โดยใช้เครื่องมือที่ชื่อว่า “libprocesshider”

นักวิจัยกล่าวว่า มัลแวร์ที่พบนี้ใช้วิธีการที่ไม่เคยเห็นมาก่อน โดยมันจะทำการถอนการติดตั้งแพลตฟอร์มการป้องกัน workload บนคลาวด์ ซึ่งเป็นระบบป้องกันความปลอดภัยสำหรับ public cloud (คลาวด์ที่สร้างขึ้นเพื่อให้ทุกคนสามารถใช้งานได้) สำหรับแพลตฟอร์มการป้องกันนี้ ได้แก่ Alibaba Threat Detection Service agent, Alibaba CloudMonitor Agent, Alibaba Cloud Assistant agent, Tencent Host Security agent และ Tencent Cloud Monitor agent

ในตอนนี้ทาง Tencent Cloud และ Alibaba Cloud เผยแพร่เอกสารเพื่อแนะนำผู้ใช้เกี่ยวกับการถอนการติดตั้งระบบป้องกันความปลอดภัยบนคลาวน์ บนหน้าเว็บของตนแล้ว

สำหรับรายละเอียดเกี่ยวกับการโจมตีมัลแวร์ “a7” ของกลุ่ม Rocke สามารถดูได้ที่ Unit42: Malware Used by “Rocke” Group Evolves to Evade Detection by Cloud Security Products

ที่มา: Threat Post