Uma nova campanha de malware foi observada visando servidores Redis para acesso inicial com o objetivo final de minerar criptomoedas em hosts Linux comprometidos.
"Esta campanha particular envolve o uso de várias técnicas inovadoras de enfraquecimento do sistema contra o próprio armazenamento de dados", disse o pesquisador de segurança Matt Muir da Cado, em um relatório técnico.
O ataque de criptojacking é facilitado por um malware codinome Migo, um binário ELF Golang que vem equipado com ofuscação em tempo de compilação e a capacidade de persistir em máquinas Linux.
A empresa de segurança na nuvem disse que detectou a campanha depois de identificar uma "série incomum de comandos" visando seus honeypots Redis que são projetados para diminuir as defesas de segurança, desativando as seguintes opções de configuração -
modo protegido
réplica somente leitura
aof-rewrite-incremental-fsync, e
rdb-save-incremental-fsync
Suspeita-se que essas opções sejam desativadas para enviar comandos adicionais ao servidor Redis a partir de redes externas e facilitar a exploração futura sem atrair muita atenção.
Esta etapa é seguida pelos atores de ameaças que configuram duas chaves Redis, uma apontando para uma chave SSH controlada pelo atacante e a outra para um trabalho cron que recupera a payload maliciosa de um serviço de transferência de arquivos chamado Transfer.sh, uma técnica previamente detectada em 2023.
O script shell para buscar o Migo usando o Transfer.sh é incorporado dentro de um arquivo Pastebin que é obtido usando um comando curl ou wget.
O binário ELF baseado em Go, além de incorporar mecanismos para resistir à engenharia reversa, atua como um downloader para um instalador XMRig hospedado no GitHub.
Ele também é responsável por realizar uma série de etapas para estabelecer persistência, encerrar mineradores competidores e lançar o minerador.
Além disso, o Migo desativa o Linux aprimorado de segurança (SELinux) e procura por scripts de desinstalação para agentes de monitoramento embalados em instâncias de computação de provedores de nuvem como Qcloud e Alibaba Cloud.
Ele ainda implanta uma versão modificada ("libsystemd.so") de um popular rootkit de modo de usuário chamado libprocesshider para esconder processos e artefatos no disco.
Vale a pena salientar que essas ações se sobrepõem às táticas adotadas por grupos de criptojacking conhecidos como TeamTNT, WatchDog, Rocke, e atores de ameaças associados ao malware SkidMap.
"Curiosamente, o Migo parece iterar recursivamente por arquivos e diretórios em /etc", observou Muir.
"O malware apenas lerá arquivos nessas localizações e não fará nada com o conteúdo."
"Uma teoria é que isso poderia ser uma tentativa (fraca) de confundir soluções de análise dinâmica e de sandbox, realizando um grande número de ações benignas, resultando em uma classificação não maliciosa."
Outra hipótese é que o malware esteja procurando por um artefato que seja específico para um ambiente alvo, embora a Cado tenha dito que não encontrou evidências para apoiar esse raciocínio.
"Migo demonstra que os atacantes focados na nuvem continuam a refinar suas técnicas e melhorar sua capacidade de explorar serviços voltados para a web", disse Muir.
"Embora libprocesshider seja frequentemente usado por campanhas de criptojacking, esta variante em particular inclui a capacidade de esconder artefatos no disco, além dos próprios processos maliciosos."
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...