22.02.2024 | Migo: хитроумное оружие криптомайнеров в войне за ресурсы Redis |
Эксперты из компании Cado Security выявили новую вредоносную кампанию, нацеленную на серверы Redis . Получив первоначальный доступ к системам, злоумышленники майнят криптовалюту на скомпрометированных хостах под управлением Linux. По словам Мэтта Мюира, одного из исследователей, в этой кампании применяется ряд принципиально новых методов для ослабления защиты серверов. В частности, отключаются такие параметры конфигурации, как protected-mode, replica-read-only, aof-rewrite-incremental-fsync и rdb-save-incremental-fsync. Такая стратегия позволяет хакерам отправлять дополнительные команды на сервер из внешних сетей, а также облегчает последующую эксплуатацию уязвимостей без привлечения лишнего внимания. После отключения защитных механизмов злоумышленники устанавливают в системе два специальных ключа. Первый ключ содержит ссылку для загрузки вредоносной программы Migo. Второй ключ запускает выполнение задачи Cron, которая периодически подключается к сервису Transfer.sh и загружает оттуда обновленные версии Migo. Этот сервис позволяет анонимно и бесплатно обмениваться файлами, он уже использовался злоумышленниками в похожих атаках в начале 2023 года. Таким образом, атакующие получают возможность регулярно загружать на скомпрометированный сервер новые версии вредоносного ПО или другие инструменты по своему усмотрению. В коде Migo реализованы различные методы обфускации, затрудняющие обратную разработку и анализ программы. Основной функционал Migo — это загрузка и запуск майнера XMRig. Помимо этого, программа выполняет ряд других важных задач: обеспечивает закрепление в системе и запуск по расписанию, блокирует конкурирующее майнинговое ПО и инициирует сам процесс майнинга на зараженном устройстве. Инструмент также отключает в Linux подсистему SELinux, которая отвечает за расширенные механизмы безопасности. Без SELinux Migo может действовать беспрепятственно. Migo осуществляет поиск и удаление скриптов для деинсталляции программных агентов мониторинга системы. Такие агенты часто внедряют облачные хостинг-провайдеры для защиты своей инфраструктуры. Для маскировки запущенных процессов и следов в файлах Migo использует модифицированную версию популярного Linux руткита libprocesshider. Руткиты позволяют скрывать наличие вредоносных программ от стандартных средств обнаружения. Как отмечает Мюир, тактика программы Migo во многом пересекается с методами, применяемыми другими известными хакерскими группами, такими как TeamTNT, WatchDog и Rocke. Аналитики Cado Security отмечают, что злоумышленники постоянно создают и улучшают вредоносные инструменты для атак на популярные веб-платформы и сервисы. Cado Security рекомендует администраторам серверов Redis и других распространенных веб-приложений проявлять повышенную бдительность в свете подобных киберугроз и следить за обновлениями средств защиты.
|
Проверить безопасность сайта