Новости Migo: хитроумное оружие криптомайнеров в войне за ресурсы Redis

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Всего одна программа превращает серверы в майнинг-машины самыми изощренными методами.


f2nlvyql7jnsrubrfzpmbdoq8rgmhyw3.jpg


Эксперты из компании Для просмотра ссылки Войди или Зарегистрируйся выявили новую вредоносную кампанию, нацеленную на серверы Redis . Получив первоначальный доступ к системам, злоумышленники майнят криптовалюту на скомпрометированных хостах под управлением Linux.

По словам Мэтта Мюира, одного из исследователей, в этой кампании применяется ряд принципиально новых методов для ослабления защиты серверов. В частности, отключаются такие параметры конфигурации, как protected-mode, replica-read-only, aof-rewrite-incremental-fsync и rdb-save-incremental-fsync. Такая стратегия позволяет хакерам отправлять дополнительные команды на сервер из внешних сетей, а также облегчает последующую эксплуатацию уязвимостей без привлечения лишнего внимания.

После отключения защитных механизмов злоумышленники устанавливают в системе два специальных ключа. Первый ключ содержит ссылку для загрузки вредоносной программы Migo.

Второй ключ запускает выполнение задачи Cron, которая периодически подключается к сервису Transfer.sh и загружает оттуда обновленные версии Migo. Этот сервис позволяет анонимно и бесплатно обмениваться файлами, он уже использовался злоумышленниками в похожих атаках в начале 2023 года.

Таким образом, атакующие получают возможность регулярно загружать на скомпрометированный сервер новые версии вредоносного ПО или другие инструменты по своему усмотрению.

В коде Migo реализованы различные методы обфускации, затрудняющие обратную разработку и анализ программы.

Основной функционал Migo — это загрузка и запуск майнера XMRig. Помимо этого, программа выполняет ряд других важных задач: обеспечивает закрепление в системе и запуск по расписанию, блокирует конкурирующее майнинговое ПО и инициирует сам процесс майнинга на зараженном устройстве.

Инструмент также отключает в Linux подсистему SELinux, которая отвечает за расширенные механизмы безопасности. Без SELinux Migo может действовать беспрепятственно.

Migo осуществляет поиск и удаление скриптов для деинсталляции программных агентов мониторинга системы. Такие агенты часто внедряют облачные хостинг-провайдеры для защиты своей инфраструктуры.

Для маскировки запущенных процессов и следов в файлах Migo использует модифицированную версию популярного Linux руткита libprocesshider. Руткиты позволяют скрывать наличие вредоносных программ от стандартных средств обнаружения.

Как отмечает Мюир, тактика программы Migo во многом пересекается с методами, применяемыми другими известными хакерскими группами, такими как TeamTNT, WatchDog и Rocke.

Аналитики Cado Security отмечают, что злоумышленники постоянно создают и улучшают вредоносные инструменты для атак на популярные веб-платформы и сервисы.

Cado Security рекомендует администраторам серверов Redis и других распространенных веб-приложений проявлять повышенную бдительность в свете подобных киберугроз и следить за обновлениями средств защиты.
 
Источник новости
www.securitylab.ru

Похожие темы