Logiciel malveillant Pro-Ocean

Les chercheurs d'Infosec suivent la menace Pro-Ocean Malware depuis sa découverte en 2019. Depuis lors, le malware a vu plusieurs mises à jour qui ont étendu ses fonctionnalités menaçantes, ainsi que ses capacités de détection-évitement. Dans les dernières versions qui ont été observées dans la nature, le malware semble maintenant avoir également été équipé d'une routine de propagation semblable à un ver.

Le Pro-Ocean Malware fait partie des activités criminelles d'un gang de hackers appelé Rocke Group. Leurs principales cibles sont les infrastructures cloud dont le matériel est ensuite détourné et utilisé pour le crypto-mining. La gamme initiale de cibles a été étendue pour inclure Apache ActiveMQ, Oracle WebLogic et Redis, un magasin de structures de données open source. En tant que vecteur d'infection, Pro-Ocean Malware utilise des vulnérabilités connues dans des applications cloud spécifiques, telles que la faille critique CVE-2016-3088 trouvée dans Apache ActiveMQ et la vulnérabilité grave CVE-2017-10271 dans Oracle WebLogic.

Une fois à l'intérieur, Pro-Ocean s'active et commence à modifier l'environnement pour mieux répondre à ses besoins. Premièrement, il élimine toute concurrence potentielle pour les ressources en supprimant d'autres souches de logiciels malveillants de crypto-minage - Luoxk, BillGates, XMRig et Hashfish. Tous les processus légitimes gourmands en ressources processeur seront également interrompus. Une fois l'espace libéré, Pro-Ocean déploie sa propre charge utile XMRig qui utilise le processeur au maximum disponible et commence immédiatement à générer des pièces Monero.

Pro-Ocean est toujours en cours de développement

Les dernières versions de Pro-Ocean se composent de quatre composants différents. Deux d'entre eux sont restés en grande partie intacts - le module de minage responsable de l'exécution de la charge utile XMRig et le module Watchdog équipé de deux scripts Bash chargés de rechercher un processus lourd en CPU, qui s'assurent que le malware lui-même est en cours d'exécution. Les deux autres composants, cependant, présentent de nouvelles capacités.

Pro-Ocean dispose désormais d'un module d'infection qui lui permet de se propager d'une manière similaire à un ver. Un script Python est utilisé pour acquérir d'abord l'adresse IP publique de la machine infectée via l'utilisation d'un service en ligne situé sur 'ident.me', puis pour infecter d'autres périphériques dans le même sous-réseau 16 bits. Le script exécute tous ses exploits de vulnérabilité les uns après les autres en attendant de voir si l'un d'entre eux réussira à enfreindre une version non corrigée du logiciel respectif.

Le dernier composant de Pro-Ocean est un module rootkit. Comme son nom l'indique, sa tâche principale est de déployer une menace de rootkit. Cependant, les pirates du groupe Rocke ont maintenant ajouté de nouvelles capacités furtives qui masquent l'activité menaçante de la menace. Le code des nouvelles fonctionnalités a été ajouté à une bibliothèque dédiée appelée «Libprocesshider» qui était déjà présente dans les anciennes versions de Pro-Ocean. Une des nouvelles techniques détermine si le fichier doit être masqué lorsqu'une fonction libc open a été appelée. Si les activités de la menace doivent être obscurcies, une erreur «Aucun fichier ou répertoire de ce type» sera renvoyée, donnant l'impression que le fichier en question n'existe tout simplement pas sur la machine.