Новый скрытый майнер получил возможность отключать облачные меры безопасности, чтобы майнить криптовалюту на серверах Linux, сообщает компания по информационной безопасности Palo Alto Networks.
Скрытый майнер, о котором идет речь, добывает Monero (XMR) и является модифицированной версией ПО, используемого хакерской группой Rocke.
Согласно исследованию, первое, что делает майнер — это проверяет систему на предмет других процессов скрытого майнинга и чтобы их заблокировать, добавляет новые правила в брандмауэр. Кроме этого майнер ищет службы облачной безопасности и нейтрализует даже такие крупные, как принадлежащие интернет-гигантами Tencent, Symantec, Microsoft и Alibaba. Причем вредоносная программа аккуратно удаляет ПО для защиты согласно руководствам пользователя по этим продуктам. Среди майнеров для серверов это уникальная особенность.
Для заражения системы вредоносное ПО использует известные уязвимости в старых версиях Apache Struts 2, Oracle WebLogic и Adobe ColdFusion. Исследователи считают, что обновление этих программ до последних версий предотвращает работу майнера. Однако в целом, этот образец вредоносного ПО является примером, демонстрирующим, что текущих решений облачной безопасности может быть недостаточно.