骇客在中国两大公有云发动挖矿攻击，锁定ActiveMQ、WebLogic、Redis下手

往许多挖矿攻击锁定个人电脑下手，但近年来也有骇客看上云端的运算资源，将当中的Linux服务器做为攻击目标，并且把范围瞄准中国的大型公有云。在1月28日，资安业者Palo Alto Networks揭露新的攻击行动，骇客针对阿里云和腾讯云上，存在特定漏洞的Apache AcitveMQ（CVE-2016-3088）、Orcale WebLogic（CVE-2017-10271），或是未妥善配置的Redis实体下手，植入XMRig挖矿程式来获得门罗币（Monero）。

在此次攻击行动的揭露中，Palo Alto提供了入侵指标（IOC）给企业参考，并认为公有云业者的防护方案，难以对付这种针对云端实体的攻击行动，不过，他们没有提出具体的因应措施，也没有提及受害规模。

发起这个攻击行动的骇客组织，是中国骇客组织Rocke，这个组织在2018年8月被思科揭露，专门锁定云端Linux服务器为目标，借此挖矿谋利，其攻击泛滥的情况，甚至一度传出有其他组织跟他们抢地盘。而如今，Rocke采用的恶意程式手法更为复杂，不仅采用特殊的机制来规避侦测，同时具备横向感染的能力，Palo Alto将其命名为Pro-Ocean。

而值得留意的是，这个组织本次的攻击手法，用了许多方法来避免被侦测。首先，Pro-Ocean会移除两家公有云业者的监控代理程式，来避免攻击行动被发现。不过，照理来说，一旦这些代理程式被移除，公有云业者很可能就要察觉有异，并且通知用户要留意，但在此起攻击里，两家业者很可能都没有发现代理程式遭到移除的情况。不过，这种做法Pro-Ocean并非首例，在去年11月出现的Gitpaste-12恶意程式，就会关闭阿里云和腾讯云的云端安全机制。

再者，为了不被防护系统察觉是恶意软件，骇客利用了常见的打包工具UPX，重新包装Pro-Ocean的可执行档案，却抹除档案里被包装的痕迹，干扰防护机制检查其中内容。而在执行的过程中，该组织则是就地取材（LoL），运用Linux操作系统内建的工具LD_PRELOAD，来强制预载Pro-Ocean的处理程序，同时以Libprocesshider来隐藏行踪。这些较为复杂的匿踪手法，过往在这种云端挖矿攻击中可说是相当罕见。

附带一提，如果该实体已有其他的挖矿软件或恶意程式，像是Luokk、BillGates、XMRig，以及Hashfish等，Pro-Ocean也会清除其处理程序，以便能够运用接近100%的处理器效能来挖矿。

而骇客为了让能多的云端实体能够加入挖矿的行列，Pro-Ocean也具备横向感染的能力，并且滥用Apache ActiveMQ与Oracle WebLogic的已知漏洞，或是针对未采取安全配置的Redis实体下手。但这3种应用程序都属不同领域，而且Palo Alto指出，由于恶意软件是在感染过程才下载到受害实体，因此他们认为，骇客日后还会滥用其他应用程序的弱点，来扩大Pro-Ocean的感染范围。