Rocke开发的硬币挖掘恶意软件已被发现能够解除安装由阿里云开发的五种不同的云安全保护和监控产品。
据外媒报道,Palo Alto Networks 的42单元发现调查了Rocke集团使用的Linux硬币挖掘恶意软件的新样本。
该组织被怀疑由Iron网络犯罪组织开发,并且还与Talos最初在2018年8月释出的Xbash恶意软件有关。
在发现时,Talos确定了A7,即一个shell指令码,可以杀死与其他加密挖掘恶意软件以及一般采矿相关的各种程式,可以检测和解除安装各种中国反病毒产品。
现在,第42单元显示,10月收集的样本被Rocke集团使用,新程式码能够卸阿里云产品。
“在我们的分析中,这些攻击并没有危及这些安全产品:相反,攻击首先获得对主机的完全管理控制,然后滥用完全的管理控制来解除安装这些产品,就像合法管理员一样,”第42单元的一位专家在一篇博文中解释道。
他们还表示,据他们所知,这是第一个开发出针对和删除云安全产品的独特功能的恶意软件系列。
后者是Gartner定义为用作服务器安全运营和管理产品的云工作负载保护平台(CWPP)。
据Unit 42称,Rocke集团使用的恶意软件在展示任何恶意行为之前逐渐发展出能够逃避基于代理的CWPP检测能力。