紧急预警：新型勒索软件Pro-Ocean专门攻击云应用，六方云提醒注意防范！

紧急预警：新型勒索软件Pro-Ocean专门攻击云应用，六方云提醒注意防范！ – 作者:6cloud

一、事件详情

Rocke恶意组织正在使用新型加密劫持恶意软件Pro-Ocean攻击Apache ActiveMQ，Oracle WebLogic以及Redis。该恶意软件是Monero加密货币矿工的演变，该矿工于2019年首次被Unit 42研究人员发现。而Pro-Ocean实现了改进的rootkit和蠕虫功能，利用Oracle WebLogic漏洞（CVE-2017-10271）和Apache ActiveMQ漏洞（CVE-2016-3088）来锁定云应用程序。同时研究发现，如果恶意软件在腾讯云或阿里云中运行，它将使用先前恶意软件的确切代码卸载监控代理，以避免被检测到。在安装之前，Pro-Ocean还将尝试删除其他恶意软件，例如Luoxk，BillGates，XMRig和Hashfish，安装后，恶意代码将尝试杀死大量占用CPU的进程。

安装脚本是用Bash编写的，并且经过混淆处理，它用于执行多项任务，为部署Pro-Ocean矿机做好准备，通过研究发现，它是专门针对云应用程序而设计的，其目标包括阿里云和腾讯云。该脚本主要恶意行为如下所示：1.尝试删除其他恶意软件和矿工（例如Luoxk，BillGates，XMRig和Hashfish）；2.清除可能由其他恶意软件设置的所有cron任务；3.禁用 iptables 防火墙，以便恶意软件可以完全访问Internet；4.如果该恶意软件在腾讯云或阿里云中运行，它将使用先前恶意软件的确切代码卸载监视代理程序以避免被检测到；5.查找SSH密钥并尝试使用它们以感染新计算机；6.为了避免检测，加密货币Monero矿工使用本机Linux功能LD_PRELOAD。

二、影响范围

使用如下应用组件的云服务存在安全风险：

OracleWeblogic Server 10.3.6 0Oracle Weblogic Server 12.2.1.2OracleWeblogic Server 12.2.1.1OracleWeblogic Server 12.1.3.0ApacheActiveMQ 5.14.0之前5.x版本的Fileserver Web应用