Ny skadlig programvara angriper molninfrastruktur

IT-säkerhetsleverantören Palo Alto Networks varnar nu för Pro-Ocean, en ny skadlig programvara som angriper molninfrastruktur och använder den för att utvinna kryptovaluta.

Ny skadlig programvara angriper molninfrastrukturPro-Ocean använder sårbarheter i programvara som ofta används i publika molntjänster för att ta sig in och börja använda molnresurserna.

Den nya skadliga programvaran är en uppdaterad version av en programvara som upptäcktes av Palo Alto Networks för två år sedan. Programvaran har sedan dess blivit allt mindre effektiv eftersom de flesta säkerhetsleverantörer kan stoppa den, och detta är också sannolikt skälet till att den nu uppdaterats.

De sedan tidigare kända kinesiska cyberbrottslingarna Rocke Group står bakom angreppen. Rocke Group angriper publika molntjänster, främst kinesiska leverantörer som Alibaba Cloud och Tencent Cloud. Gruppen har varit aktiv sedan åtminstone 2016 och har även använt utpressningsprogramvara (ransomware).

Den nu aktuella Pro-Ocean använder sedan tidigare kända sårbarheter för att ta sig in i molninfrastrukturen. Det är programvarorna Apache ActiveMQ, Oracle WebLogic och Redis som angrips. När den tagit sig in på molninfrastrukturen stänger den ner andra pågående processer så att hela datakapaciteten kan användas för att utvinna kryptovalutan Monero åt brottslingarna.

Pro-Ocean har i förhållande till föregångaren ett nytt så kallat rootkit och fungerar som en mask, vilket innebär att den kan sprida sig själv till nya offer. Den använder också flera metoder för att undvika upptäckt av säkerhetsprogramvara.

Flera molnleverantörer har sina egna lösningar för säkerhet men Pro-Ocean har särskilt utformats för att undvika dessa. Palo Alto Networks Prisma Cloud, företagets lösning för molnsäkerhet, skyddar däremot mot Pro-Ocean.