Negli ultimi tempi, i servizi cloud sono diventati il bersaglio preferito di campagne malware sempre più sofisticate, con l’obiettivo principale di installare cryptominer e sfruttare le risorse delle infrastrutture compromesse per generare criptovaluta. Due campagne particolarmente rilevanti, denominate Soco404 e Koske, hanno attirato l’attenzione degli esperti di sicurezza per la loro capacità di colpire ambienti cloud multipiattaforma, sia Linux che Windows, sfruttando vulnerabilità e configurazioni errate.

Soco404

Soco404 si distingue per l’utilizzo di tecniche di masquerading dei processi, camuffando le attività malevole sotto l’aspetto di processi di sistema legittimi. I payload vengono nascosti all’interno di pagine HTML 404 false, ospitate su siti Google Sites, successivamente rimossi da Google. Questa campagna in passato ha già preso di mira servizi come Apache Tomcat, Apache Struts e Atlassian Confluence, sfruttando credenziali deboli e vulnerabilità note, spesso collegandosi a botnet come Sysrv. La strategia di Soco404 è quella di eseguire scansioni automatiche alla ricerca di servizi esposti, utilizzando sia strumenti Linux come wget e curl sia strumenti nativi di Windows come certutil e PowerShell, per massimizzare le probabilità di compromissione.

Una delle tecniche preferite dagli attaccanti consiste nell’abusare di istanze PostgreSQL pubblicamente accessibili. Attraverso il comando SQL COPY ... FROM PROGRAM, i cybercriminali ottengono esecuzione di codice remoto, scaricando script per Linux che terminano altri cryptominer concorrenti e cancellano i log per ridurre la visibilità forense. Su Windows, invece, viene scaricato un loader che integra anche il driver WinRing0.sys per ottenere privilegi di sistema, disabilitare i log degli eventi e auto-eliminarsi per evitare rilevamento.

Koske

Koske, invece, rappresenta una nuova minaccia Linux probabilmente sviluppata con il supporto di modelli linguistici di intelligenza artificiale. Questa minaccia sfrutta immagini JPEG di panda apparentemente innocue, ma in realtà contenenti payload malevoli incorporati nella parte finale del file. Una volta scaricate, queste immagini poliglotte consentono l’estrazione e l’esecuzione in memoria di rootkit e script che scaricano miner ottimizzati sia per CPU che per GPU, in grado di minare fino a 18 criptovalute diverse, tra cui Monero, Ravencoin e Zano. La campagna utilizza server JupyterLab mal configurati come vettore iniziale e sfrutta la tecnica dell’esecuzione in memoria per eludere i controlli antivirus.

Questi attacchi dimostrano come la sicurezza cloud debba essere costantemente aggiornata e monitorata, poiché le tecniche di attacco diventano sempre più sofisticate e orientate a colpire un ampio spettro di servizi e sistemi.