關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.07.26
訊息與報導/資訊安全
Soco404與Koske惡意軟體針對雲端服務的跨平台加密貨幣挖礦攻擊

引言

根據The Hacker News於2025年7月25日發布的文章《Soco404 and Koske Malware Target Cloud Services with Cross-Platform Cryptomining Attacks》,兩大惡意軟體活動Soco404與Koske利用雲端服務的漏洞和誤配置,通過偽裝404錯誤頁面和嵌入熊貓圖像的惡意腳本,針對Linux和Windows系統發動跨平台加密貨幣挖礦攻擊。這些攻擊由雲端安全公司Wiz和Aqua分別命名為Soco404和Koske,顯示駭客如何利用雲端環境的高計算資源進行非法挖礦。本報告分析攻擊背景、手法、資安風險,並提出防禦建議,強調配置管理和雲端安全的重要性。


攻擊背景

Soco404與Koske是兩種獨立的惡意軟體活動,專注於利用雲端服務的誤配置和已知漏洞,部署加密貨幣挖礦程式,竊取受害者的計算資源。Wiz報告指出,Soco404針對Linux和Windows平台,利用偽裝404頁面的惡意負載,攻擊Apache Tomcat、Apache Struts和Atlassian Confluence等伺服器,與Sysrv殭屍網路存在關聯。Koske則專注於Linux環境,利用AI生成技術,將惡意腳本嵌入看似無害的熊貓圖像,針對JupyterLab等誤配置伺服器。這些攻擊反映了加密貨幣挖礦(cryptojacking)從單一系統向雲端平台的轉變,雲端的高可擴展性和計算能力使其成為駭客的理想目標。


攻擊手法與技術細節

Soco404攻擊流程Soco404採用高度自動化的攻擊鏈,涵蓋以下階段:
  1. 初始存取:駭客執行自動化掃描,尋找公開暴露的雲端服務,如PostgreSQL、Apache Tomcat和Atlassian Confluence,特別是具有弱憑證或未修補漏洞的服務。常見目標包括過於寬鬆的IAM角色、公開存取的儲存桶和未認證的API端點。
  2. 負載分發:惡意負載隱藏在偽裝成404錯誤頁面的HTML檔案中,託管於Google Sites。這些假頁面已被Google移除,但顯示駭客利用可信平台的隱蔽性。負載通過Linux工具(如Wget、Curl)和Windows工具(如Certutil、PowerShell)下載。
  3. 持久化與偽裝:Soco404使用進程偽裝(process masquerading),將惡意活動偽裝成合法系統進程。它通過cron作業在Linux系統上實現持久化,並覆寫CRON和WTMP日誌以降低取證可見性。
  4. 挖礦執行:最終階段部署平台特定的加密貨幣挖礦程式,針對18種加密貨幣(如Monero、Ravencoin、Zano)進行挖礦,最大化計算資源利用。


Koske攻擊流程

Koske的攻擊更具創新性,利用AI生成技術,涵蓋以下階段:
  1. 初始存取:攻擊針對誤配置的Linux伺服器(如JupyterLab),利用公開暴露的服務或弱憑證獲得存取權限。
  2. 負載分發:惡意腳本嵌入兩個JPEG格式的熊貓圖像,利用AI生成的多語圖像(polyglot images)隱藏腳本。這些腳本包括C語言根套件(rootkit)和shell腳本,通過LD_PRELOAD隱藏惡意檔案。
  3. 記憶體執行:所有負載直接在記憶體中執行,避免在磁碟上留下痕跡,提升隱蔽性。
  4. 挖礦執行:部署CPU和GPU優化的挖礦程式,利用受害者的高性能雲端資源進行加密貨幣挖礦。
兩種攻擊均展現高級規避技術,如記憶體執行和日誌清除,凸顯雲端環境的防禦挑戰。資安風險Soco404與Koske攻擊帶來以下主要風險:
  1. 資源盜竊:非法挖礦消耗雲端伺服器的計算資源,導致高昂的運營成本。
  2. 數據暴露:誤配置的雲端服務可能導致敏感數據洩露,如客戶資料或商業機密。
  3. 持久性威脅:根套件和計畫任務使惡意軟體難以檢測和移除,可能長期潛伏。
  4. 供應鏈風險:攻擊可能通過受損的軟體儲存庫或協力廠商服務擴散,影響更廣泛的生態系統。
  5. 服務中斷:過高的資源使用可能導致雲端服務性能下降,影響業務連續性。


安全影響

這些攻擊對雲端使用者的影響深遠。首先,非法挖礦增加雲端運營成本,可能導致企業財務損失。其次,誤配置暴露的服務可能成為進一步攻擊的入口點,威脅數據隱私和業務運營。此外,AI生成技術的使用顯示駭客的技術進化,增加了防禦的複雜性。企業若未能及時修補漏洞或糾正誤配置,可能面臨聲譽損害和監管處罰,特別是在GDPR或CCPA等法規要求下。


地緣政治與行業背景

雖然Soco404與Koske的直接地緣政治動機不明,但其針對雲端基礎設施的攻擊與全球對雲端資源的競爭有關。雲端服務作為數位經濟的支柱,吸引了從個人駭客到國家級威脅行為者的關注。Koske的AI生成技術可能涉及大型語言模型(LLM),顯示駭客利用新興技術的趨勢,這與近期報導中中國相關團體(如Evasive Panda)使用AI進行攻擊的模式相似。
Soco404與Koske惡意軟體活動揭示了雲端環境面臨的新興威脅,利用誤配置和AI生成技術進行隱藏式加密貨幣挖礦攻擊。這些攻擊不僅消耗企業資源,還可能導致數據洩露和供應鏈風險。企業必須通過強化配置管理、修補漏洞和進階檢測,保護雲端基礎設施。同時,隨著AI技術在攻擊中的應用,企業需密切關注新興威脅的演化,並將資安融入雲端策略的核心。通過參考NIST和ISO標準,並採用多層防禦策略,企業可有效降低Soco404與Koske的風險,確保雲端環境的安全與穩定。
 
資料來源:https://thehackernews.com/2025/07/soco404-and-koske-malware-target-cloud.html