Киберпреступники развернули две изощренные кампании, эксплуатируя уязвимости облачных сред для скрытого майнинга криптовалют. Исследователи Wiz обнаружили кампанию Soco404, а специалисты Aqua — Koske. Обе атаки используют уникальные тактики для заражения Linux и Windows систем.
Soco404 демонстрирует тревожную эволюцию. Атакующие переключились с атак на Apache Tomcat, Apache Struts и Atlassian Confluence через ботнет Sysrv на эксплуатацию публично доступных PostgreSQL-серверов. Они используют SQL-команду
На Linux Soco404 исполняет скрипт-дроппер прямо в памяти, загружая бинарный загрузчик. Этот загрузчик обращается к домену
Koske, обнаруженный Aqua (исследователь Ассаф Мораг), нацелен исключительно на Linux и отличается необычной доставкой. Атакующие используют неправильно сконфигурированные серверы JupyterLab. Полезная нагрузка извлекается из двух JPEG-изображений с пандами, выступающих полиглот-файлами — внешне картинки, но с прикрепленным вредоносным кодом. Зловредные сегменты исполняются прямо в памяти, минуя запись на диск и обходя антивирусы. Это злоупотребление форматом файлов, а не стеганография.
Полезная нагрузка Koske включает руткит на C, скрывающий файлы через
Обе кампании подчеркивают растущую изощренность атак на облака. Soco404 использует широкий арсенал инструментов (
Изображение носит иллюстративный характер
Soco404 демонстрирует тревожную эволюцию. Атакующие переключились с атак на Apache Tomcat, Apache Struts и Atlassian Confluence через ботнет Sysrv на эксплуатацию публично доступных PostgreSQL-серверов. Они используют SQL-команду
COPY... FROM PROGRAM для удаленного выполнения кода (RCE), превращая базы данных в точку входа. Полезная нагрузка доставлялась через фальшивые 404-страницы, размещенные на Google Sites, а также через скомпрометированный корейский транспортный сайт и взломанные серверы Tomcat. На Linux Soco404 исполняет скрипт-дроппер прямо в памяти, загружая бинарный загрузчик. Этот загрузчик обращается к домену
www.fastsoco[.]top (на базе Google Sites) для финальной доставки майнера. Для максимизации прибыли он убивает процессы конкурирующих майнеров и стирает следы, перезаписывая логи (cron, wtmp). На Windows загружается бинарник, внедряющий майнер и драйвер WinRing0.sys для получения привилегий NT\SYSTEM. Атака включает остановку службы журнала событий Windows и самоудаление вредоноса. Ключевая тактика — маскировка процессов под легитимные системные службы. Koske, обнаруженный Aqua (исследователь Ассаф Мораг), нацелен исключительно на Linux и отличается необычной доставкой. Атакующие используют неправильно сконфигурированные серверы JupyterLab. Полезная нагрузка извлекается из двух JPEG-изображений с пандами, выступающих полиглот-файлами — внешне картинки, но с прикрепленным вредоносным кодом. Зловредные сегменты исполняются прямо в памяти, минуя запись на диск и обходя антивирусы. Это злоупотребление форматом файлов, а не стеганография.
Полезная нагрузка Koske включает руткит на C, скрывающий файлы через
LD_PRELOAD, и скрипт, загружающий майнеры. Цель — добыча 18 различных криптовалют, включая Monero (XMR), Ravencoin (RVN), Zano (ZANO), Nexa (NEXA) и Tari (TARI). Исследователи Aqua предполагают возможное участие больших языковых моделей (LLM) в разработке Koske из-за его структуры. Обе кампании подчеркивают растущую изощренность атак на облака. Soco404 использует широкий арсенал инструментов (
wget, curl, certutil, PowerShell) для начального доступа и является частью инфраструктуры мошеннических криптоплатформ. Koske впечатляет инновационным сокрытием в файлах изображений и широким охватом майнинга. Они представляют собой двойную угрозу для незащищенных облачных развертываний.
