Что общего у страницы с ошибкой 404 и семейного фото? Обе могут украсть ваши деньги

Что общего у страницы с ошибкой 404 и семейного фото? Обе могут украсть ваши деньги

Файл с ядом, SQL-запрос как нож, облако как мишень. Ваша инфраструктура — уже поле боя.

image

Исследователи выявили две параллельные вредоносные кампании, нацеленные на уязвимые и неправильно настроенные компоненты облачной инфраструктуры. Обе атаки связаны с внедрением криптомайнеров , а задействованные группировки получили обозначения Soco404 и Koske — их активность подробно проанализирована командами Wiz и Aqua Security.

Soco404 проявляет высокую адаптивность: злоумышленники атакуют как Linux-, так и Windows-системы, загружая специализированные вредоносы для каждой платформы. По данным аналитиков Wiz — Маора Доканяна, Шахара Дорфмана и Авигайил Мехтингер, — вредоносные файлы маскируются под легитимные процессы операционной системы и имитируют нормальную активность. Особенно выделяется метод доставки через поддельные страницы с ошибкой 404, созданные на Google Sites, в которые внедрены исполняемые компоненты. Эти ресурсы были деактивированы после обращения специалистов.

Ранее Soco404 использовала векторы, основанные на компрометации Apache Tomcat , уязвимостях в Apache Struts и Atlassian Confluence, действуя через ботнет Sysrv. В актуальной волне атак основной фокус сместился на открытые экземпляры PostgreSQL . В то же время ранее скомпрометированные инсталляции Apache Tomcat используются для хостинга вредоносных загрузчиков, скомпилированных под обе операционные системы. В числе эксплуатируемых хостов оказался и сайт южнокорейского логистического оператора, временно применявшийся как промежуточный сервер доставки малвари.

Получив доступ к PostgreSQL, атакующие применяют команду SQL COPY ... FROM PROGRAM, с помощью которой выполняют произвольные команды оболочки напрямую на целевой машине. Это позволяет развёртывать загрузочный скрипт, исполняемый в оперативной памяти. Он не только внедряет вредоносный бинарник, но и устраняет конкурирующие майнеры, а также удаляет следы активности из журналов cron и wtmp, осложняя последующую криминалистику.

Бинарный файл, независимо от платформы, обращается к домену www.fastsoco[.]top , размещённому на Google Sites. В случае с Windows вредонос дополнительно загружает драйвер WinRing0.sys для получения привилегий уровня NT\SYSTEM, отключает службу логирования событий и удаляет собственные следы, снижая вероятность обнаружения.

Аналитики Wiz подчёркивают: злоумышленники используют гибкий арсенал инструментов — от стандартных утилит Linux (wget, curl) до встроенных возможностей Windows (certutil, PowerShell). Такая универсальность, наряду с мультиплатформенной реализацией и автоматизацией, делает кампанию Soco404 масштабным примером криптомайнинга, ориентированного на охват и устойчивость.

Параллельно в Aqua Labs зафиксировали кампанию Koske, ориентированную на Linux-серверы. Её особенностью стал необычный вектор проникновения: атака начинается с компрометации JupyterLab, после чего вредонос внедряется через JPEG-изображения со встроенным исполняемым кодом. Такие полиглот-файлы сохраняют валидную визуальную часть, а вредонос содержится в хвосте и активируется после загрузки, обходя сигнатурные антивирусные проверки.

Каждое изображение содержит два компонента: библиотеку на C, реализующую руткит через LD_PRELOAD для сокрытия процессов и файлов, и шелл-скрипт, скачивающий и запускающий майнер. Всё это исполняется в оперативной памяти, без записи на диск, что значительно затрудняет обнаружение. Задача — установка криптомайнеров, поддерживающих до 18 различных монет, включая Monero, Ravencoin, Zano, Nexa и Tari, с оптимизациями как под CPU, так и под GPU.

Исследователь Aqua Ассаф Мораз отмечает высокий уровень автоматизации Koske и указывает на возможное применение генеративных языковых моделей ИИ в процессе разработки. Кампания выделяется системным подходом и «чистым» кодом — это один из первых случаев столь эффективного использования полиглотных медиаконтейнеров в атаках на облачную инфраструктуру.

Обе кампании — Soco404 и Koske — подчёркивают масштаб угроз, исходящих от уязвимых или недонастроенных облачных сервисов. Администраторам следует тщательно проверять конфигурации, ограничивать публичный доступ к критичным узлам и своевременно обновлять программное обеспечение. Особое внимание рекомендуется уделять платформам PostgreSQL и JupyterLab, которые часто остаются в уязвимом состоянии после первоначального развёртывания.

Soco404 также указывает на необходимость защиты от откатов версий и реализации контроля целостности систем, а Koske — на важность фильтрации медиафайлов и расширения механизмов анализа нетипичных форматов. Обе кампании ясно дают понять: безопасность облачной и DevOps-инфраструктуры требует активного и непрерывного внимания.