O Malware encontrado é para segmentar cinco produtos de segurança do Linu
Pesquisadores de segurança alertam que uma nova forma de malware tem como alvo servidores Linux e desabilitam seus produtos de segurança para minar a criptomoeda.
A Unidade 42 da Palo Alto Networks revela que ela encontrou amostras de malware usadas por um grupo chamado Rocke para se infiltrar em sistemas Linux e procurar cinco produtos de segurança em nuvem diferentes que poderiam bloquear mais atividades maliciosas nos hosts comprometidos.
A análise revela que os ataques bem-sucedidos lançados pela Rocke primeiro exigem que eles explorem as vulnerabilidades encontradas em outras soluções de software que permitiriam a implantação do malware. Falhas no Apache Struts 2, no Oracle WebLogic e no Adobe ColdFusion estão sendo usadas.
Depois que o host é comprometido, o malware faz o download de um script chamado a7 no sistema e permite a persistência usando cronjobs.
Além disso, ele pode matar todos os outros processos de mineração executados no mesmo host, bloquear outro malware com regras do iptables, ocultar seu processo malicioso e desinstalar produtos de segurança em nuvem baseados em agente.
Sistemas chineses segmentados
As soluções de segurança impactadas são todas desenvolvidas por empresas chinesas. Os seguintes produtos foram confirmados como afetados pelo malware:
- Alibaba Agente de Serviço de Detecção de Ameaças Agente
- Alibaba CloudMonitor (Monitor de CPU e consumo de memória, conectividade de rede)
- Agente Alibaba Cloud Assistant (ferramenta para gerenciar automaticamente as instâncias)
- agente
- Tencent Host Security Agente Tencent Cloud Monitor
“Depois que os produtos de segurança e monitoramento na nuvem baseados em agente são desinstalados, o malware usado pelo grupo Rocke começa a exibir comportamentos maliciosos. Acreditamos que esse comportamento único de evasão será a nova tendência de malware que visa a infraestrutura de nuvem pública ”, observa a equipe de pesquisa de segurança.
Considerando-se que os alvos de malware são principalmente produtos de segurança desenvolvidos pela Alibaba e pela Tencent, acredita-se que a maioria dos ataques seja realizada na China, embora também possa ser expandida para outras regiões. Ambas as empresas já foram informadas dos ataques, a fim de bloquear potenciais explorações.
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário