【安全资讯】Rocke Group攻击云设施以执行加密挖矿恶意软件

近日，研究人员发现 Rocke Group 开发的新型恶意软件，该恶意软件使用保存的SSH密钥和弱口令来感染网络中的其他计算机。它还利用流行平台和服务（例如Jenkins，Redis和ActiveMQ）中的漏洞进行传播，一旦受害者被感染，将执行Monero加密挖矿恶意软件。

Rocke Group的主要目的是部署加密劫持恶意软件，或窃取受害者系统资源挖掘加密货币。该组织自2018年以来一直活跃， 并一直通过修改其工具和技术来规避检测。

该组织最初交付的恶意软件带有经过修改的UPX壳，这会使一些端点检测和响应（EDR）产品更难检测到恶意代码。该威胁包含许多模块，这些模块以压缩形式存储在恶意软件中，在执行期间将提取并执行有效载荷。

攻击者为了隐藏恶意软件的活动，实施了一种利用库劫持的逃避检测技术。该技术使系统命令检索到的信息会以隐藏恶意软件及其组件使用的资源方式进行更改。例如，运行“ top”命令将不会显示由加密采矿恶意软件引起的高CPU使用率。

其中一个压缩模块是XMRig Miner。在挖矿程序被执行前，Dropper结束云服务器上CPU资源使用超过30％的任何其他进程，以保证挖矿程序能够拥有所有CPU资源。