Un nou malware numit ‘Migo’ a fost descoperit de cercetătorii în securitate, care vizează serverele Redis de pe gazdele Linux pentru a extrage criptomonede.
Redis (Remote Dictionary Server) este un magazin de structuri de date în memorie utilizat ca bază de date, cache și broker de mesaje cunoscut pentru performanța sa ridicată, servind mii de cereri pe secundă pentru aplicații în timp real în industrii precum jocuri, tehnologie, servicii financiare și sănătate.
Hackerii caută întotdeauna servere Redis expuse și potențial vulnerabile pentru a acapara resurse, a fura date și pentru alte scopuri malitioase.
Ceea ce este interesant la noua tulpină de malware este folosirea unor comenzi de slăbire a sistemului care dezactivează funcțiile de securitate Redis, permițând activităților de cryptojacking să continue pentru perioade prelungite.
Campania Migo a fost detectată de analiștii de la Cado Security, care au observat pe honeypot-urile lor că atacatorii au folosit comenzi CLI pentru a dezactiva configurațiile de protecție și a exploata serverul.
Pe lângă compromiterea serverelor Redis expuse, atacatorii dezactivează funcțiile critice de securitate pentru a permite primirea unor comenzi ulterioare și a face replicile scribilie.
Cado spune că au observat atacatorii dezactivând următoarele opțiuni de configurare prin Redis CLI.
În continuare, atacatorii configurează un cron job care descarcă un script de pe Pastebin, care recuperează încărcătura principală a lui Migo (/tmp/.migo) de pe Transfer.sh pentru a fi executată ca sarcină de fundal.
Acesta este un binar UPX-ambalat ELD compilat în Go, cu o obfuscare la momentul compilării pentru a împiedica analiza.
Cado spune că funcția principală a lui Migo este de a aduce, instala și lansa un miner modificat de XMRig (Monero) pe endpointul compromis direct de pe CDN-ul GitHub.
Malware-ul stabilește persistența pentru miner creând un serviciu systemd și cronometrul asociat, asigurându-se că rulează continuu, extrăgând criptomonede în contul atacatorului.
Cado raportează că Migo folosește un rootkit de mod utilizator pentru a-și ascunde procesele și fișierele, complicând detectarea și eliminarea.
Malware-ul modifică ‘/etc/ld.so.preload’ pentru a intercepta și a altera comportamentul uneltelor de sistem care listează procese și fișiere, ascunzând efectiv prezența sa.
Atacul se încheie cu Migo configurând reguli de firewall pentru a bloca traficul de ieșire către anumite IP-uri și a executa comenzi pentru a dezactiva SELinux, a căuta și potențial a dezactiva agenții de monitorizare ai furnizorilor de servicii cloud și a elimina mineri sau încărcături concurente.
De asemenea, manipulează /etc/hosts pentru a împiedica comunicarea cu furnizorii de servicii cloud, ascunzând și mai mult activitatea sa.
Secvența de atac a lui Migo arată că actorul amenințării din spatele său are o înțelegere solidă a mediului și operațiunilor Redis.
Deși amenințarea cryptojacking nu este prea gravă deoarece nu duce la perturbări sau coruperea datelor, actorul amenințării ar putea folosi accesul pentru a livra încărcături mai periculoase.