Nieuwe malware verwijdert beveiligingssoftware van gehackte Linux-servers

Nieuwe malware is ontdekt die probeert cloudbeveiligingsproducten te verwijderen van gecompromitteerde Linux-servers. De servers worden vervolgens ingezet om cryptocurrency te minen en inkomsten te genereren voor de aanvallers.

De malware is ontdekt door Unit 42, het Threat Intelligence Team van Palo Alto Networks. In een nieuw rapport wijst Unit 42 op de Rocke Group, die met behulp van Linux-mining-malware vijf verschillende Tencent- en Alibaba-cloudbeveiligingsproducten van Linux-servers blijkt te kunnen verwijderen. Voor zover bekend is dit de eerste malwarefamilie die deze functionaliteit bevat.

Xbash cryptojacking malware

De aangetroffen malware blijkt verbonden te zijn met de cryptojacking malware Xbash. Deze malware steelt rekenkracht van gecompromitteerde systemen om de cryptocurrency Monero te minen. In dit geval werd dus geprobeerd rekenkracht te stelen van Linux-servers.

Unit42 stelt dat de malware overigens niet in staat bleek de beveiligingsproducten van Tencent en Alibaba uit te schakelen. De aanvallers zouden uiteindelijk volledige administratieve controle over hosts hebben verkregen en deze toegang hebben misbruikt om de beveiligingsproducten te verwijderen. Wel verwacht Unit 42 in de toekomst meer malware te gaan zien die dergelijke functionaliteit bevat.

Meer informatie is beschikbaar in het rapport dat Unit 42 heeft vrijgegeven over de malware.