Pro-Ocean Malware

Los investigadores de Infosec han estado siguiendo la amenaza Pro-Ocean Malware desde que se descubrió por primera vez en 2019. Desde entonces, el malware ha visto varias actualizaciones que han ampliado sus funcionalidades amenazantes, así como sus capacidades de detección y evitación. En las últimas versiones que se han observado en la naturaleza, el malware parece que ahora también ha sido equipado con una rutina de propagación similar a un gusano.

Pro-Ocean Malware es parte de las actividades delictivas de una banda de piratas informáticos llamada Rocke Group. Sus principales objetivos son las infraestructuras en la nube cuyo hardware luego es secuestrado y utilizado para la minería criptográfica. La gama inicial de objetivos se ha ampliado para incluir Apache ActiveMQ, Oracle WebLogic y Redis, un almacén de estructura de datos de código abierto. Como vector de infección, Pro-Ocean Malware utiliza vulnerabilidades conocidas en aplicaciones específicas en la nube, como la falla crítica CVE-2016-3088 encontrada en Apache ActiveMQ y la vulnerabilidad grave CVE-2017-10271 en Oracle WebLogic.

Una vez dentro, Pro-Ocean se activa y comienza a modificar el entorno para adaptarse mejor a sus necesidades. Primero, elimina cualquier competencia potencial por los recursos al eliminar otras cepas de malware de minería criptográfica: Luoxk, BillGates, XMRig y Hashfish. También se terminará cualquier proceso legítimo que requiera un uso intensivo de la CPU. Cuando se ha despejado el espacio, Pro-Ocean despliega su propia carga útil XMRig que utiliza la CPU al máximo disponible y comienza a generar monedas Monero inmediatamente.

Pro-Ocean aún se está desarrollando

Las últimas versiones de Pro-Ocean constan de cuatro componentes diferentes. Dos de ellos han permanecido intactos en gran medida: el módulo de minería responsable de ejecutar la carga útil de XMRig y el módulo Watchdog equipado con dos scripts Bash encargados de buscar procesos con gran cantidad de CPU, que aseguran que el malware se esté ejecutando. Los otros dos componentes, sin embargo, exhiben algunas habilidades nuevas.

Pro-Ocean ahora tiene un módulo de infección que le permite propagarse de manera similar a un gusano. Se utiliza una secuencia de comandos de Python para adquirir primero la dirección IP pública de la máquina infectada mediante el uso de un servicio en línea ubicado en 'ident.me' y luego para infectar otros dispositivos dentro de la misma subred de 16 bits. El script ejecuta todos sus exploits de vulnerabilidad uno tras otro esperando a ver si alguno de ellos infringe con éxito una versión sin parche del producto de software respectivo.

El último componente de Pro-Ocean es un módulo de rootkit. Como sugiere el nombre, su tarea principal es implementar una amenaza de rootkit. Sin embargo, los piratas informáticos de Rocke Group ahora le han agregado nuevas capacidades de sigilo que enmascaran la actividad amenazante de la amenaza. El código de las nuevas funciones se agregó a una biblioteca dedicada llamada 'Libprocesshider' que ya estaba presente en las versiones anteriores de Pro-Ocean. Una de las nuevas técnicas determina si el archivo debe ocultarse cuando se llama a una función libc open. Si las actividades de la amenaza deben ofuscarse, se devolverá el error "No existe ese archivo o directorio", creando la impresión de que el archivo en cuestión simplemente no existe en la máquina.