Pacha和Rocke组织竞争云端资源进行加密货币挖矿

Pacha组织是Intezer研究人员2019年2月发现的一个加密货币挖矿威胁单元，该组织主要攻击Linux服务器，并且应用了多种高级绕过和驻留技术。

研究人员持续监控该组织攻击活动发现Pacha组织也在攻击云环境并尝试破坏和干扰其他加密货币挖矿组织，其中包括攻击云环境的Rocke组织。研究人员认为云环境未来将成为更多攻击者的目标。

技术分析

在监控Pacha组织时，研究人员发现于之前变种共享代码的新的Linux.GreedyAntd变种样本。

虽然与之前变种共享了接近30%的代码量，但Pacha组织新变种的检测率仍然很低——1/60。

主要的恶意软件基础设施与之前pacha组织攻击活动所使用的相同。Roche组织是Cisco Talos安全研究人员发现进行加密货币挖矿攻击的黑客组织，主要对Linux和云环境进行加密货币挖矿活动。下图是Linux.GreedyAntd搜索清除的挖矿机黑名单，黑名单中有多个文件名都是Roche组织植入使用的：

文件路径黑名单中含有其他的字符串是用来禁用云保护方案的，比如Alibaba Server Guard Agent。恶意软件植入的字符串滥用了Atlassian漏洞，Rocke组织也被爆出寻找类似的安全产品和滥用相同的漏洞。

与之前的攻击活动相比，Pacha组织的基础设施的特定是如果HTTP GET请求是特定User-Agent，那么植入只能从Pacha组织的服务器下载。下图说明了除非使用正确的User-Agent，否则无法下载文件：

另外，Pacha组织的组件更新好像含有轻量级用户模式rootkit—— Libprocesshider，其实这是GitHub上的一个开源项目，Rocke组织之前也使用过。

恶意软件会更新 /etc/ld.preload 来包含伪装为libconv.so的释放的库函数的路径，libconv.so是一个Unicode转化库。

共享的对象会导出定制的readdir和readdir64函数版本，这两个函数会尝试将进程名隐藏到恶意软件基础设施的主组件的/proc文件系统中。

和前面变种中看到的进程、文件路径黑名单一样，研究人员还发现有新变种使用IP黑名单技术。在进程和文件黑名单完成后，研究人员发现了下面的代码：

IP table黑名单中的IP都会被解码，然后通过ioctl添加到系统路由表中。

可以通过以下系统调用追踪来分析：

在检查被黑的系统的路由表时，可以看到：

每个解码的IP都加入到含有host scope的路由表。这表明如果任一IP地址被请求，都会被路由到要解析的主机而不是重定向到网关，引发路由进程失败。

下图可以看出使用ping工具的效果：

研究人员分析IP黑名单发现其中一些IP并不是恶意的，但Rocke组织在过去也使用过。比如，Rocke组织在过去的加密货币挖矿活动中就使用过黑名单中的域名systemten.org。下面是Linux.GreedyAntd黑名单中Rocke组织曾经使用过的域名：

总结

通过分析研究人员可以证明Pacha组织在攻击基于云的环境，并且在跟Rocke组织竞争。这些都可以通过Pacha组织使用的进程黑名单和新添加的IP黑名单列表来证明。

云端基础设施逐渐成为攻击者的目标，尤其是那些有漏洞的Linux服务器。但基于Linux的恶意软件检测率仍然很低，安全社区需要更多努力才能更加有效地应对这类威胁。