Nieuwe geavanceerde malware van het Chinese hackerscollectief Rocke Group verwijdert na het verwerven van administratortoegang beveiligingssoftware van de gekraakte server, om zo ongestoord cryptominers te kunnen installeren.
Malware van Rocke Group is plots een stuk gevaarlijker geworden. De nieuwste software van de cybercriminelen is in staat om de beveiliging van cloudservers te verwijderen. Dat maakt het mogelijk om eenvoudiger cryptominers te installeren en te exploiteren. Unit 42 van Palo Alto Networks ontdekte het probleem.
De malware richt zich vooral op Chinese clouddiensten van Tencent en Alibaba. Voor de nieuwe capaciteiten maken de aanvallers geen gebruik van nieuwe kwetsbaarheden. Ze gaan gewoon een stapje verder in het uitbuiten van bestaande lekken.
Administrator-toegang
Concreet baant de Rocke Group-malware zich een weg naar een cloudserver via beveiligingsproblemen in bijvoorbeeld Apache Struts 2, Oracle WebLogic of Adobe ColdFusion. Via die kwetsbaarheden verwerft de malware vervolgens administrator-toegang op een systeem. Cryptominer-malware zou nu van de kans gebruik maken om een miner op een server te installeren, om zo geld te genereren voor hackers. Vaak gaat het om Monero-miners.
Rocke Group is nooit erg goed geweest in delen, waardoor de malware altijd al commando’s bevatte om eventuele cryptominers van de concurrentie van de getroffen server te wippen. Nu is het virus dus ook in staat om beveiligingssoftware van een server te verwijderen. Daarvoor hoeft de software eigenlijk weinig meer te doen dan de reeds verworven administratorprivileges uitbuiten.
China
Voorlopig beperkt de nieuwe aanpak zich tot Chinese clouddiensten, waar de diversiteit van de aangeboden producten beperkter is, en het dus ook eenvoudiger is om een server van zijn beveiliging te strippen. De aanval toont desalniettemin voor iedereen aan agent-security op servers ontoereikend is wanneer malware administratortoegang kan verwerven. Een vorm van externe monitoring door een hogere beveiligingslaag kan dat probleem oplossen.
Het concept is niet nieuw. In desktopland bestaan er al jaren virussen die in staat zijn om antivirusprogramma’s te omzeilen en uit te schakelen. Het is de stap naar de cloud en de omslag naar het uitschakelen van specifieke cloud-security die verontrustend is.