کمیته رکن چهارم – گروه هکری Rocke با انگیزههای مالی فعالیت میکند نسخه آسیبپذیر Apache ActiveMQ، Oracle WebLogic و Redis را هدف یک بدافزار استخراجکننده ارز رمز (Cryptojacking) با نام Pro-Ocean قرار داده است.
استخراجکننده ارز رمز Pro-Ocean بهنوعی نسخه تکامل یافته تهدیدی است که پیشتر این گروه از آن استفاده کرده است. از جمله امکانات جدید لحاظ شده در Pro-Ocean میتوان به قابلیتهای خودانتشاری، از طریق اجرای غیرهدفمند بهرهجوها (Exploit) اشاره کرد.
پیشتر نیز هکرهای Rocke بسترهای ابری را با سوءاستفاده از آسیبپذیریهای امنیتی Oracle WebLogic – (ضعف امنیتی CVE-۲۰۱۷-۱۰۲۷۱)، Apache ActiveMQ (ضعف امنیتی CVE-۲۰۱۶-۳۰۸۸) و Redis هدف حملات خود قرار داده بودند. با این تفاوت که در آن زمان اجرای بهرهجو، نه بهصورت خودکار که بهطور دستی انجام میگرفت.
بر اساس گزارشی که شرکت Palo Alto Networks آن را منتشر کرده Pro-Ocean مجهز به قابلیتهای بهبود یافته و جدیدی در عملکرد روتکیتی (Rootkit) و کرمی (Worm) است که باعث مخفی ماندن فعالیت مخرب آن و آلوده شدن سرورها از طریق بهرهجویی از آسیبپذیریهای امنیتی میشود.
Pro-Ocean برای مخفی ماندن از دید محصولات امنیتی، از LD_PRELOAD که قابلیتی توکار در Linux است بهمنظور وادار کردن کدهای دو دویی (Binary) در اولویتبندی فراخوانی کتابخانههای اختصاصی استفاده میکند. با این حال این تکنیک در نمونههای زیادی از بدافزارهای دیگر نیز مشاهده شده است. این مهاجمان با بهکارگیری کدهایی که در اینترنت قابل دسترس هستند، توانایی روتکیتی آن را برای مخفیسازی فعالیت مخرب بدافزار افزایش دادهاند.
برای مثال، میتوان به تابع open در کتابخانه libc اشاره کرد که وظیفه آن باز کردن یک فایل و استخراج بخش Descriptor آن است. این کد مخرب تعیین میکند که آیا فایل لازم است که پیش از فراخوانی مخفی شود یا نه.
اگر تعیین شود که فایل نیاز است که مخفی باشد تابع مخرب، خطای “No such file or directory” را باز میگرداند تا اینطور القا شود که چنین فایلی بر روی دستگاه وجود ندارد. همچنین گردانندگان Pro-Ocean از بهرهجویی دستی به یک فرایند خودکار – البته غیرهوشمند – برای بهرهجویی روی آوردهاند. یک اسکریپت Python با استخراج نشانی IP عمومی دستگاه با استفاده از ident.me در ادامه تلاش میکند تا تمامی ماشینهای در زیرشبکه ۱۶-بیتی را آلوده کند.
صرفنظر از نرمافزارهای اجرا شده بر روی دستگاه مقصد، تمامی بهرهجوها بر روی آن امتحان میشوند تا شاید یکی از آنها مؤثر واقع شود.
در صورتی که یکی از بهرهجوها جواب داد، اسکریپت Python کد مخربی را که وظیفه آن دریافت اسکریپت نصب Pro-Ocean از یک سرور HTTP است، اجرا خواهد کرد. اسکریپت نصب که به زبان Bash نوشته و مبهمسازی (Obfuscation) شده است نقشی مهم در عملیات استخراج ارز رمز ایفا میکند.این اسکریپت علاوه بر نصب Pro-Ocean، از اجرای بدافزارها و استخراجکنندگان همقطار خود بر روی دستگاه قربانی جلوگیری میکند.
علاوه بر آن با غیرفعالسازی دیواره آتش و حذف محصولات امنیتی، کنترل کامل و بیدردسر دستگاه را برای Pro-Ocean فراهم میکند.
این مهاجمان تلاش میکنند تا بیشترین بیگاری را از دستگاه برای استخراج ارز رمز بکشند. بدینمنظور Pro-Ocean مجهز به ماژولی است که میزان استفاده از پردازشگر توسط پروسههای معتبر را تحت نظارت داشته و هر کدام که بیشتر از ۳۰ درصد استفاده کنند، متوقف میکند.
همچنین این ماژول با رصد فعالیت بدافزار بر روی ماشین، بهمحض متوقف شدن، اقدام به اجرای مجدد آن کرده و اطمینان حاصل میکند که تا حد امکان، فرایند استخراج ارز رمز دچار افت نشود. بر اساس تحلیل صورت گرفته، محققان معتقدند که اهداف Pro-Ocean سرویسهای ابری Alibaba و Tencent هستند.
نخستینبار در سال ۲۰۱۸، Cisco Talos از گروه Rocke نام برد. اگر چه در ابتدا حملات سایبری آن ساده و پیشپا افتاده بود اما با گذشت زمان بر میزان مخرب بودن آنها افزوده شد. هر چند هنوز هم Pro-Ocean تا تبدیل شدن به یک بدافزار پیچیده فاصله دارد، اما اقدامات اخیر مهاجمان آن، نظیر بهبود قابلیت خودانتشاری و تجهیز آن به تاکتیکهای مخفیسازی میتواند نشانهای از استمرار تکامل تهدیدات گروه Rocke باشد.
مشروح گزارش Palo Alto Networks در لینک زیر قابل دریافت و مطالعه است:
https://unit۴۲.paloaltonetworks.com/pro-ocean-rocke-groups-new-cryptojacking-malware
نشانههای آلودگی (IoC):
- نشانیهای URL
- hxxp://shop,۱۶۸bee[.]com/*
- hxxps://shop,۱۶۸bee[.]com/*
استخر استخراج
- hxxp://pool.minexmr[.]com
درهمساز (SHA-۲۵۶)
- https://www.afta.gov.ir/portal/file/?۲۴۲۷۰۰/afta-news-۹۹۱۱۱۳_v۱.pdf
منبع : مرکز مدیریت راهبردی افتا
