Две отдельные кампании нацелены на неправильно настроенные компоненты облачной инфраструктуры
28/07/25
Обе атаки связаны с внедрением криптомайнеров, а задействованные группировки получили обозначения Soco404 и Koske — их деятельность подробно проанализирована командами Wiz и Aqua Security. Об этом пишет Securitylab.
Soco404 проявляет высокую приспосабливаемость: злоумышленники атакуют как Linux-, так и Windows-системы, загружая специализированные вредоносы для каждой платформы.
По данным аналитиков Wiz, вредоносные файлы маскируются под легитимные процессы операционной системы и имитируют обычную работк. Особенно выделяется метод доставки через поддельные страницы с ошибкой 404, созданные на Google Sites, в которые внедрены исполняемые компоненты. Эти ресурсы были отключены после обращения специалистов.
Ранее Soco404 использовала векторы, основанные на компрометации Apache Tomcat , уязвимостях в Apache Struts и Atlassian Confluence, действуя через ботнет Sysrv. В актуальной волне атак основной фокус сместился на открытые экземпляры PostgreSQL. В то же время ранее скомпрометированные инсталляции Apache Tomcat используются для хостинга вредоносных загрузчиков, скомпилированных под обе операционные системы. В числе эксплуатируемых хостов оказался и сайт южнокорейского логистического оператора, временно применявшийся как промежуточный сервер доставки малвари.
Получив доступ к PostgreSQL, атакующие применяют команду SQLCOPY ... FROM PROGRAM
, с помощью которой выполняют произвольные команды оболочки напрямую на целевой машине. Это позволяет развёртывать загрузочный скрипт, исполняемый в оперативной памяти. Он не только внедряет вредоносный бинарник, но и устраняет конкурирующие майнеры, а также удаляет следы активности из журналов cron и wtmp, осложняя последующую криминалистику.
Файл, независимо от платформы, обращается к домену www.fastsoco[.]top, размещённому на Google Sites. В случае с Windows вредонос дополнительно загружает драйвер WinRing0.sys для получения привилегий уровня NT\SYSTEM, отключает службу логирования событий и удаляет собственные следы, снижая вероятность обнаружения.
Аналитики Wiz подчёркивают: злоумышленники используют гибкий арсенал инструментов — от стандартных утилит Linux (wget, curl) до встроенных возможностей Windows (certutil, PowerShell). Такая универсальность, наряду с мультиплатформенной реализацией и автоматизацией, делает кампанию Soco404 масштабным примером криптомайнинга, ориентированного на охват и устойчивость.