Вирус Linux удаляет с серверов защиту от майнерских скриптов

21 января 2019, 17:53
Вирус Linux удаляет с серверов защиту от майнерских скриптов

Новое вредоносное ПО удаляет облачные продукты безопасности с Linux-серверов, чтобы майнить криптовалюту, пишет Softpedia.

Зловреда нашли исследователи из подразделения Unit 42 компании Palo Alto Networks, которая специализируется на кибербезопасности. Он таргетирует 5 продуктов безопасности, разработанные компаниями Alibaba и Tencent — это лидирующие поставщики облачных решений в Китае: Alibaba Threat Detection Service, Alibaba CloudMonitor, Alibaba Cloud Assistant, Tencent Host Security agent и Tencent Cloud Monitor agent.

Согласно исследователям, вирус создали участники группировки Rocke. Для его внедрения хакеры используют уязвимости других продуктов (Apache Struts 2, Oracle WebLogic и Adobe ColdFusion).

После взлома хоста зловред запускает скрипт под названием а7, который деинсталлирует решения облачной безопасности будто бы от имени полноправного администратора, а далее начинает сам майнить Monero. Кроме того, вирус способен блокировать любые процессы добычи криптовалют и другие вредоносные программы для майнинга на хосте, а также успешно скрывается от обнаружения.

Обсуждение