18/01/19
/hack46.jpg?width=300&name=hack46.jpg)
Как сообщили исследователи компании Palo Alto Networks, попав на сервер Linux, прежде чем начать майнинг, вредонос полностью удаляет облачные решения безопасности. Его распространением занимается китайскоговорящая киберпреступная группировка Rocke, специализирующая на майнинге криптовалюты Monero с помощью зараженных компьютеров под управлением Linux.
Если раньше используемое группировкой ПО пыталось обойти обнаружение путем отключения некоторых функций в облачных решениях безопасности, то теперь оно деинсталлирует эти решения полностью. По словам исследователей, киберпреступники добавили в программу код для получения административного доступа к инфицированному серверу и удаления пяти разных сервисов безопасности от Tencent Cloud и Alibaba Cloud: Alibaba Threat Detection Service; Alibaba Cloud Monitor; Alibaba Cloud Assistant; Tencent Host Security и Tencent Cloud Monitor.
Как отмечают исследователи, данный вредонос является первым, обладающим уникальной способностью удалять с атакуемой системы облачные решения безопасности. Он запрограммирован на удаление вышеупомянутых сервисов строго в соответствии с инструкциями по их удалению, опубликованными на официальных сайтах Tencent Cloud и Alibaba Cloud. То есть, вредоносу не нужно взламывать сервисы, он удаляет их легитимным путем в соответствии с инструкциями.
