El grupo de ciberdelincuencia de habla china Rocke, conocido por operar múltiples campañas de cripto-minería maliciosas a gran escala, ahora ha cambiado a nuevas Tácticas, Técnicas y Procedimientos (TTP), que incluyen nueva infraestructura C2 y malware actualizado para evadir la detección
Rocke es un grupo de amenazas con motivación financiera que los investigadores de Cisco Talos descubrieron por primera vez en abril de 2018 mientras explotaban los servidores Apache Struts, Oracle WebLogic y Adobe ColdFusion sin parches, y soltaban malware de criptominería de los depósitos de Gitee y GitLab controlados por el atacante.
Durante enero, el equipo de la Unidad 42 de Palo Alto Network encontró un código que desinstala múltiples productos de seguridad y monitoreo en la nube desarrollados por Tencent Cloud y Alibaba Cloud desde servidores Linux, luego de analizar nuevas muestras de malware Rocke .
El nuevo malware de Rocke se dirigió a los agentes locales agregados por Tencent Host Security y el Servicio de detección de amenazas de Alibaba Cloud como Unidad 42 descubierta.
Nueva infraestructura Rocke C2
En marzo, se observó a Rocke cambiar a un nuevo cuentagotas basado en Golang denominado LSD que utilizaba Pastebin para comando y control (C2) como descubrieron los investigadores de Anomali Labs mientras monitoreaban las actividades del grupo durante este año.
Esta nueva variedad de malware está diseñada para ayudarlos a configurar operaciones de criptojacking Monero (XMR) en sistemas comprometidos, a tasas de detección casi inexistentes y para ayudar al grupo de amenazas a alejarse de las herramientas maliciosas desarrolladas usando Python.
Un mes después, Rocke comenzó a explotar CVE-2019-3396 en servidores vulnerables de Confluence para ejecutar código malicioso de forma remota, y posteriormente dejó caer las cargas útiles de cryptominer como se informó en los foros de usuarios de Atlassian.
Durante el verano, a fines de julio, los piratas informáticos cambiaron a una infraestructura C2 autohospedada que les permitió alojar los scripts de configuración de criptominería en sus servidores, eliminando así el riesgo de que se desarmaran partes de su operación.
El mes pasado, Rocke realizó otro cambio en sus TTP, cambiando a los registros de texto del Sistema de nombres de dominio (DNS) para almacenar sus scripts de configuración de criptominería en lugar de las pastas Pastebin.
"Se accede a estos registros mediante consultas DNS normales o DNS sobre HTTP (DoH) si la consulta DNS falla", agrega los informes de Anomali Labs.
Cargador de malware actualizado y mejorado
"Además del cambio C2, también se agregó funcionalidad a su malware LSD para explotar los servidores ActiveMQ vulnerables a CVE-2016-3088".
El malware LSD de Rocke también buscará y matará todos los procesos intensivos de CPU que se ejecutan en los dispositivos comprometidos, aunque primero se asegurará de que no matará a sus criptomineros al comparar sus valores hash MD5 con valores codificados.
El 17 de septiembre es la fecha en que el grupo de hackers comenzó a usar la nueva muestra de LSD que obtiene sus scripts de configuración de minería de "AES de 128 bits en modo de encadenamiento de bloques cifrados (CBC) y registros TXT codificados en base64" a través de solicitudes DoH.
"Rocke sigue evolucionando sus TTP en intentos de permanecer sin ser detectados. Al alejarse de los scripts de alojamiento en Pastebin a los registros DNS y autohospedados, el actor de amenazas está más protegido contra posibles derribos que podrían evitar la actividad maliciosa en curso", concluye Anomali Labs .
"Se espera que el grupo continúe explotando más vulnerabilidades para extraer criptomonedas adicionales en el futuro cercano".
Una lista de indicadores de compromiso (COI) y una matriz ATT & CK que detalla las técnicas utilizadas por la pandilla de delitos informáticos durante las campañas de este año están disponibles al final del informe Rocke de Anomali Labs .
Luchando por la supremacía de la nube
Rocke también fue visto en mayo mientras apuntaba a los criptomineros de otro grupo de criptojacking llamado Pacha Group , un grupo de hackers de origen chino perfilado por Intezer Labs mientras empujaba un malware de minería de criptomonedas llamado Linux.GreedyAntd y descubierto por primera vez en septiembre de 2018.
Ambos grupos de piratas informáticos están conectados a campañas de cripto-minería maliciosas a gran escala y, como descubrió el equipo de investigación de Intezer Labs, se persiguieron mutuamente el malware de criptominería como parte de una batalla continua para obtener el control de la infraestructura vulnerable basada en la nube .
Para dejar caer sus criptomineros, Pacha Group "lanzó un ataque de fuerza bruta contra servicios como WordPress o PhpMyAdmin, o utilizó un exploit conocido para una versión desactualizada de servicios similares", dijo Intezer Labs en ese momento.
El malware utilizado por el grupo Rocke para extraer criptomonedas en campañas que se remontan a abril de 2018 también presenta una "lista de asesinatos" que lo ayuda a detectar y cerrar el malware que anteriormente ejecutaba el criptojacking.
Pacha Group también agregó una lista de direcciones IP codificadas a Linux. La lista negra de GreedyAntd como descubrió Intezer Labs, lo que le permite bloquear los criptomineros de Rocke al enrutar su tráfico de regreso a las máquinas infectadas y evitar que lleguen a las piscinas mineras.
Fecha actualización el 2021-10-15. Fecha publicación el 2019-10-15. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil