Soco404 und Koske: Neue Cloud-Malware schürft systematisch Kryptogeld : Zwei hochentwickelte Malware-Kampagnen attackieren Cloud-Dienste plattformübergreifend – mit dem Ziel, Krypto-Miner unbemerkt auszuführen.
Cloud-Dienste geraten zunehmend ins Visier von Malware-Akteuren. Mit Soco404 und Koske wurden nun zwei neue Kampagnen entdeckt, die gezielt Schwachstellen und Fehlkonfigurationen in Linux- und Windows-Umgebungen ausnutzen, um Rechenleistung für das heimliche Schürfen von Kryptowährungen zu kapern – geschickt getarnt und daher sehr schwer zu erkennen.
Cyberkriminelle Gruppen nutzen zunehmend automatisierte Angriffskampagnen, um Schwachstellen in Cloud-Umgebungen auszunutzen – besonders bei öffentlich erreichbaren Datenbanken, schlecht gesicherten Webanwendungen und Entwicklungsumgebungen. Die neu entdeckten Malware-Familien Soco404 und Koske verfolgen dieses Ziel mit technisch raffinierten Mitteln und einer klaren Absicht: maximale Rechenleistung für das Mining von Kryptowährungen abzuschöpfen – unabhängig vom Betriebssystem.
Soco404: Tarnung per 404-Seite und systemnahe Ausführung
Die vom Cloud-Sicherheitsunternehmen Wiz analysierte Kampagne Soco404 greift sowohl Linux- als auch Windows-Systeme an. Der Name leitet sich von manipulierten 404-Fehlerseiten ab, die als Tarnung für die Verbreitung von Schadcode dienen. Diese Seiten waren auf gefälschten Webseiten gehostet, die wie echte Google-Sites-Seiten aussahen – sie wurden mittlerweile deaktiviert.
Wiz geht davon aus, dass die Angriffe der Kampagne Teil einer größeren Betrugsmasche rund um Kryptowährungen sind. Neben gefälschten Handelsplattformen für Krypto-Coins greifen die Täter auch gezielt Serverdienste mit bekannten Schwachstellen an – darunter Apache Tomcat, Apache Struts und Atlassian Confluence. Dabei kommt auch das bekannte Sysrv-Botnetz zum Einsatz.
Neue Ziele: Datenbanken und gehackte Webseiten
Inzwischen richten sich die Angriffe auch gegen öffentlich erreichbare PostgreSQL-Datenbanken. Die Hacker missbrauchen zudem kompromittierte Tomcat-Server, um ihre Schadsoftware zu verteilen – und zwar so, dass sie sowohl unter Linux als auch unter Windows funktioniert. Interessante Randnotitz: Auch eine eigentlich seriöse koreanische Transport-Website wurde gehackt und zur Verbreitung der Schadsoftware zweckentfremdet.
Sobald sich die Hacker Zugriff auf eine PostgreSQL-Datenbank verschafft haben, nutzen sie eine spezielle Funktion namens COPY … FROM PROGRAM SQL. Damit lassen sich beliebige Befehle direkt auf dem Server ausführen – die Angreifer übernehmen so die volle Kontrolle über das System.
Automatisierte Angriffe mit systemeigenen Tools
Laut Wiz scannt die Gruppe systematisch das Internet nach offenen und schlecht geschützten Diensten. Die Angriffe erfolgen plattformabhängig:
- Auf Linux-Systemen wird ein Shellscript direkt im Speicher ausgeführt. Es lädt die nächste Stufe der Malware nach, beendet konkurrierende Mining-Prozesse und überschreibt Protokolle (etwa cron und wtmp), um die Spuren zu verwischen. Die nachgeladene Schadsoftware ist eine Binärdatei, die als Ladekomponente für einen Krypto-Miner dient. Sie nimmt Kontakt zu einer externen Domain auf – „www.fastsoco[.]top“, die über Google Sites gehostet wurde.
- Auf Windows-Systemen wird ein Binary geladen, das sowohl den Miner als auch den WinRing0.sys-Treiber enthält, der zur Eskalation der Benutzerrechte auf Systemebene dient.
Beide Varianten versuchen, Sicherheitsprotokolle wie das Windows-Event-Log auszuschalten und sich nach der Ausführung selbst zu löschen, um forensische Analyse zu erschweren. Zum Nachladen der Payloads werden häufig legitime Werkzeuge wie wget, curl, certutil oder PowerShell verwendet – abhängig vom Zielsystem.
Koske: Malware im Pandabild versteckt
Parallel zu Soco404 entdeckte die Sicherheitsfirma Aqua eine weitere Malware namens Koske. Anders als Soco404 setzt Koske ausschließlich auf Linux-basierte Systeme und nutzt dabei ein besonders kreatives Täuschungsmanöver: Die Schadsoftware ist in scheinbar harmlosen JPEG-Bildern versteckt – unter anderem in Panda-Motiven.
Die Angriffe starten mit der Ausnutzung fehlkonfigurierter Dienste wie JupyterLab. Danach werden zwei Bilder heruntergeladen, die versteckten Schadcode enthalten:
- Ein C-basiertes Rootkit, das mit LD_PRELOAD-Technik schädliche Dateien unsichtbar macht.
- Ein Shellscript, das direkt im Speicher ausgeführt wird, um Mining-Software zu installieren.
Koske nutzt dabei keine klassische Steganografie, sondern das Prinzip sogenannter Polyglot-Dateien: Die Bilddateien enthalten am Ende zusätzlich ausführbaren Code, der beim Download gezielt extrahiert wird. Nur diese letzten Dateibytes werden ausgeführt – eine effektive Methode zur Umgehung klassischer Virenscanner.
Ziel: Maximale Ausbeute durch Mining
Sowohl Koske als auch Soco404 verfolgen das gleiche wirtschaftliche Ziel: Kryptowährungen schürfen, ohne dass die Opfer es bemerken. Dabei wird nicht nur CPU-, sondern auch GPU-Leistung ausgenutzt – ideal für das Mining von Coins wie Monero, Ravencoin, Zano, Nexa oder Tari.
In beiden Fällen setzen die Angreifer auf eine automatisierte Infrastruktur, die auf Masse statt Individualisierung setzt: Tausende Systeme werden gescannt, kompromittiert und in Mining-Farmen umgewandelt – mit minimalem Aufwand und maximalem Profit.
Fazit: Cloud-Sicherheit bleibt unter Beschuss
Die Entdeckung von Soco404 und Koske zeigt einmal mehr, wie anfällig schlecht konfigurierte Cloud-Umgebungen für automatisierte Angriffe sind. Beide Kampagnen kombinieren Plattformvielfalt, Tarntechniken und kreative Payload-Verpackung, um klassische Sicherheitsmaßnahmen zu umgehen. Unternehmen sollten daher nicht nur ihre Cloud-Dienste absichern, sondern auch systemeigene Tools überwachen, Logs schützen und verdächtige Netzaktivitäten frühzeitig erkennen.