Эксперты компании Aqua сообщили о выявлении новой киберпреступной кампании, в рамках которой хакеры активно распространяют скрытое вредоносное ПО под названием perfctl. Основной целью вируса является запуск программного обеспечения для майнинга криптовалют и прокси-джекинга. По словам исследователей, «Perfctl особенно неуловим и настойчив, он использует несколько сложных методов».
Стоит отметить, что некоторые особенности этой хакерской кампании были раскрыты в сентябре 2024 года компанией Cado Security, которая подробно описала эту операцию как нацеленную на доступные через Интернет экземпляры Selenium Grid с использованием программного обеспечения для майнинга криптовалют и прокси-джекинга. В частности, было обнаружено, что вредоносная программа perfctl использует уязвимость безопасности в Polkit (CVE-2021-4043, также известная как PwnKit) для повышения привилегий до уровня root и отключения майнера perfcc.
Причиной названия «perfctl», по-видимому, является преднамеренная попытка избежать обнаружения и смешаться с легитимными системными процессами, поскольку «perf» относится к инструменту мониторинга производительности Linux, а «ctl» означает управление в различных инструментах командной строки, таких как systemctl, timedatectl и rabbitmqctl.
Цепочка атак, выявленная компанией Aqua в отношении её серверов-приманок, предполагает взлом серверов Linux путём эксплуатации уязвимого экземпляра Apache RocketMQ для доставки полезной нагрузки под названием «httpd». После запуска он копирует себя в новое место в каталоге «/tmp», запускает новый двоичный файл, завершает исходный процесс и удаляет исходный двоичный файл в попытке замести следы.
Помимо копирования себя в другие места и присвоения себе, казалось бы, безобидных имён, вредоносная программа разработана для установки руткита для обхода защиты и полезной нагрузки майнера. Некоторые случаи также влекут за собой извлечение и выполнение программного обеспечения proxyjacking с удалённого сервера.