Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Две отдельные кампании нацелены на неправильно настроенные компоненты облачной инфраструктуры

28/07/25

images - 2025-07-28T134442.585

Обе атаки связаны с внедрением криптомайнеров, а задействованные группировки получили обозначения Soco404 и Koske — их деятельность подробно проанализирована командами Wiz и Aqua Security. Об этом пишет Securitylab.

Soco404 проявляет высокую приспосабливаемость: злоумышленники атакуют как Linux-, так и Windows-системы, загружая специализированные вредоносы для каждой платформы.

По данным аналитиков Wiz, вредоносные файлы маскируются под легитимные процессы операционной системы и имитируют обычную работк. Особенно выделяется метод доставки через поддельные страницы с ошибкой 404, созданные на Google Sites, в которые внедрены исполняемые компоненты. Эти ресурсы были отключены после обращения специалистов.

Ранее Soco404 использовала векторы, основанные на компрометации Apache Tomcat , уязвимостях в Apache Struts и Atlassian Confluence, действуя через ботнет Sysrv. В актуальной волне атак основной фокус сместился на открытые экземпляры PostgreSQL. В то же время ранее скомпрометированные инсталляции Apache Tomcat используются для хостинга вредоносных загрузчиков, скомпилированных под обе операционные системы. В числе эксплуатируемых хостов оказался и сайт южнокорейского логистического оператора, временно применявшийся как промежуточный сервер доставки малвари.

Получив доступ к PostgreSQL, атакующие применяют команду SQLCOPY ... FROM PROGRAM, с помощью которой выполняют произвольные команды оболочки напрямую на целевой машине. Это позволяет развёртывать загрузочный скрипт, исполняемый в оперативной памяти. Он не только внедряет вредоносный бинарник, но и устраняет конкурирующие майнеры, а также удаляет следы активности из журналов cron и wtmp, осложняя последующую криминалистику.

 Файл, независимо от платформы, обращается к домену www.fastsoco[.]top, размещённому на Google Sites. В случае с Windows вредонос дополнительно загружает драйвер WinRing0.sys для получения привилегий уровня NT\SYSTEM, отключает службу логирования событий и удаляет собственные следы, снижая вероятность обнаружения.

Аналитики Wiz подчёркивают: злоумышленники используют гибкий арсенал инструментов — от стандартных утилит Linux (wget, curl) до встроенных возможностей Windows (certutil, PowerShell). Такая универсальность, наряду с мультиплатформенной реализацией и автоматизацией, делает кампанию Soco404 масштабным примером криптомайнинга, ориентированного на охват и устойчивость.

Темы:майнингОблачные технологииУгрозыWiz
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...