Современные облачные сервисы продолжают играть ключевую роль в инфраструктуре предприятий и организаций по всему миру. Однако с увеличением их популярности возрастает и количество киберугроз, нацеленных на эксплуатацию уязвимостей в этих системах. Одними из самых заметных последних кампаний стали вредоносные операции с участием вредоносных программ Soco404 и Koske, которые используют передовые техники кроссплатформенного криптомайнинга и внедрения в облачные сервисы. Эти кампании демонстрируют комплексный, многоаспектный и адаптивный характер современных угроз, что требует от специалистов по безопасности особого внимания и постоянного обновления защитных мер. Soco404 — это вредоносное ПО, нацеленное на Linux и Windows системы одновременно.
Исследователи облачной безопасности из компаний Wiz и Aqua подчеркивают, что злоумышленники применяют платформозависимое вредоносное ПО, которое маскирует свою активность под легитимные системные процессы. Вредоносные команды используют методы процессного маскирования, что значительно усложняет обнаружение. Компания Wiz выявила, что атаки Soco404 связаны с размещением вредоносных загрузчиков на фальшивых страницах 404 на сайтах, созданных при помощи Google Sites. Несмотря на то, что данный вектор был оперативно устранён Google, сам подход указывает на изощренные способы маскировки и доставки вредоносного кода. Атаки Soco404 в первую очередь нацелены на уязвимые веб-сервисы, такие как Apache Tomcat, Apache Struts и Atlassian Confluence — платформы, часто используемые в корпоративных облачных окружениях.
Злоумышленники применяли ботоветы Sysrv для проведения широкомасштабных сканирований и проникновений. Помимо этого, были зафиксированы попытки компрометации публично доступных экземпляров PostgreSQL, а также использование так называемых «легитимных» веб-сайтов, например, корейского транспортного портала, для доставки вредоносных компонент. Для достижения первоначального доступа злоумышленники эксплуатируют команду PostgreSQL COPY ...
FROM PROGRAM, которая позволяет выполнять произвольные shell-команды прямо на сервере, получая тем самым удалённое выполнение кода. Данный метод подчеркивает возможность автоматизированных атак, направленных на эксплуатацию широко распространенных сервисов с неправильными настройками безопасности. После проникновения на Linux-систему запускается небольшой скрипт-дроппер, который исполняется прямо в памяти без сохранения на диск, что помогает минимизировать следы атаки. Скрипт скачивает и запускает следующий этап вредоносного ПО, при этом уничтожая конкурирующие процессы майнеров и модифицируя системные логи, чтобы затруднить расследование инцидентов. В качестве загрузчика служит бинарный файл, взаимодействующий с удалённым доменом fastsoco.
top, который использует хостинг Google Sites для размещения вредоносных компонентов. Windows-версия Soco404 использует загрузочный процесс, при котором после первоначального доступа скачивается Windows-исполняемый файл, содержащий как непосредственно майнер, так и драйвер WinRing0.sys. Этот драйвер применяется для получения системных привилегий NT\SYSTEM, необходимого для устойчивого выполнения вредоносных операций. Дополнительно вредоносная программа отключает службы регистрации событий Windows, что препятствует сборам данных о действиях злоумышленников, и после выполнения частей кода самостоятельно удаляется с целью сокрытия своей активности.
Такой мультиплатформенный и полиморфный подход характерен для автоматизированных атак, направленных на максимальное распространение и устойчивость на целевых системах. На фоне этих событий появилась ещё одна опасная угроза — вредоносная кампания Koske. Данный вредоносный код ориентирован на Linux-системы и использует необычные способы инфицирования, в частности, применение полиглотных файлов-изображений формата JPEG с вредоносным кодом, внедрённым в конец файла. Koske не прибегает к стеганографии, а использует технику, называемую «злоупотреблением полиглотными файлами», при которой изображение корректно отображается, а вредоносный код может быть извлечён и выполнен напрямую в памяти. Отдельное внимание заслуживает тот факт, что изображениями являются фото панд — привычные и безобидные картинки, что снижает подозрительность в глазах систем безопасности и пользователей.
Атака Koske начинается с эксплуатации неправильно настроенных серверов, таких как JupyterLab. После успешного взлома на систему загружаются два вредоносных скрипта, замаскированных в JPEG-файлах: один на языке С, реализующий руткит, который скрывает файлы злоумышленников при помощи механизма LD_PRELOAD, а второй — шелл-скрипт, загружающий криптомайнеры. Выполнение обоих компонентов происходит без сохранения на диск, что дополнительно усложняет обнаружение вредоносной активности. Цель Koske — развертывание майнеров, оптимизированных как под работу на ЦПУ, так и на графических ускорителях, с возможностью добычи сразу 18 различных криптовалют, включая Monero, Ravencoin, Zano, Nexa и Tari. Такой широкий спектр свидетельствует об амбициозности злоумышленников и стремлении максимизировать доход.
Исследователи из Aqua обращают внимание, что использование полиглотных JPEG-файлов — относительно новый приём, позволяющий эффективно обходить традиционные антивирусные системы, которые часто полагаются либо на сигнатуры вредоносного кода, либо на анализ дисковых артефактов. Выполнение кода напрямую в памяти — современный метод ухода от детектирования. Обе вредоносные кампании — Soco404 и Koske — демонстрируют эволюцию угроз для облачных систем и многоплатформенную природу современных атак. Они нацелены не только на уязвимости отдельных компонентов, но и на ошибки конфигурации, открывая широкие возможности для проникновения и длительного пребывания вредоносного ПО в инфраструктуре. Для защиты от подобных угроз организациям необходимо уделять особое внимание регулярному обновлению систем и приложений, строго контролировать учётные данные и права доступа, использовать инструменты мониторинга сетевой активности и аномалий в поведении процессов.
Также важно внедрять современные технологии DLP и EDR, позволяющие оперативно выявлять активность майнинга и других подозрительных процессов. Крайне полезны аудиты конфигураций облачной среды, чтобы исключить публичный доступ к базам данных и административным интерфейсам без надлежащих механизмов безопасности. При возникновении подозрений на компрометацию необходимо тщательно анализировать логи и системные показатели, учитывая, что Sophisticated атаки могут затирать следы, в том числе оболочки команд и сервисы ведения журналов. Важно отметить, что флуд запросов и массовые сканирования — индикаторы попыток автоматизированного поиска уязвимых сервисов. Разработка уязвимых компонентов таких, как PostgreSQL с открытым удалённым доступом, часто становится первичной целью злоумышленников.
