Migo: хитроумное оружие криптомайнеров в войне за ресурсы Redis

Эксперты из компании Cado Security выявили новую вредоносную кампанию, нацеленную на серверы Redis. Получив первоначальный доступ к системам, злоумышленники майнят криптовалюту на скомпрометированных хостах под управлением Linux.

По словам Мэтта Мюира, одного из исследователей, в этой кампании применяется ряд принципиально новых методов для ослабления защиты серверов. В частности, отключаются такие параметры конфигурации, как protected-mode, replica-read-only, aof-rewrite-incremental-fsync и rdb-save-incremental-fsync. Такая стратегия позволяет хакерам отправлять дополнительные команды на сервер из внешних сетей, а также облегчает последующую эксплуатацию уязвимостей без привлечения лишнего внимания.

После отключения защитных механизмов злоумышленники устанавливают в системе два специальных ключа. Первый ключ содержит ссылку для загрузки вредоносной программы Migo.

Второй ключ запускает выполнение задачи Cron, которая периодически подключается к сервису Transfer.sh и загружает оттуда обновленные версии Migo. Этот сервис позволяет анонимно и бесплатно обмениваться файлами, он уже использовался злоумышленниками в похожих атаках в начале 2023 года.

Таким образом, атакующие получают возможность регулярно загружать на скомпрометированный сервер новые версии вредоносного ПО или другие инструменты по своему усмотрению.

В коде Migo реализованы различные методы обфускации, затрудняющие обратную разработку и анализ программы.

Основной функционал Migo — это загрузка и запуск майнера XMRig. Помимо этого, программа выполняет ряд других важных задач: обеспечивает закрепление в системе и запуск по расписанию, блокирует конкурирующее майнинговое ПО и инициирует сам процесс майнинга на зараженном устройстве.

Инструмент также отключает в Linux подсистему SELinux, которая отвечает за расширенные механизмы безопасности. Без SELinux Migo может действовать беспрепятственно.

Migo осуществляет поиск и удаление скриптов для деинсталляции программных агентов мониторинга системы. Такие агенты часто внедряют облачные хостинг-провайдеры для защиты своей инфраструктуры.

Для маскировки запущенных процессов и следов в файлах Migo использует модифицированную версию популярного Linux руткита libprocesshider. Руткиты позволяют скрывать наличие вредоносных программ от стандартных средств обнаружения.

Как отмечает Мюир, тактика программы Migo во многом пересекается с методами, применяемыми другими известными хакерскими группами, такими как TeamTNT, WatchDog и Rocke.

Аналитики Cado Security отмечают, что злоумышленники постоянно создают и улучшают вредоносные инструменты для атак на популярные веб-платформы и сервисы.

Cado Security рекомендует администраторам серверов Redis и других распространенных веб-приложений проявлять повышенную бдительность в свете подобных киберугроз и следить за обновлениями средств защиты.