Une nouvelle campagne de malware a été observée ciblant les serveurs Redis pour un accès initial dans le but ultime d’extraire de la crypto-monnaie sur des hôtes Linux compromis.
« Cette campagne particulière implique l’utilisation d’un certain nombre de nouvelles techniques d’affaiblissement du système contre le magasin de données lui-même », a déclaré Matt Muir, chercheur en sécurité chez Cado. dit dans un rapport technique.
L’attaque de cryptojacking est facilitée par un malware nommé Migo, un binaire Golang ELF doté d’un obfuscation au moment de la compilation et de la capacité de persister sur les machines Linux.
La société de sécurité cloud a déclaré avoir détecté la campagne après avoir identifié une « série inhabituelle de commandes » ciblant ses pots de miel Redis, conçues pour réduire les défenses de sécurité en désactivant les options de configuration suivantes :
On soupçonne que ces options sont désactivées afin d’envoyer des commandes supplémentaires au serveur Redis à partir de réseaux externes et de faciliter une exploitation future sans attirer beaucoup d’attention.
Cette étape est ensuite suivie par les acteurs malveillants qui configurent deux clés Redis, l’une pointant vers une clé SSH contrôlée par l’attaquant et l’autre vers une tâche cron qui récupère la charge utile principale malveillante à partir d’un service de transfert de fichiers nommé Transfer.sh, une technique précédemment repérée. début 2023.
Le script shell permettant de récupérer Migo à l’aide de Transfer.sh est intégré dans un fichier Pastebin qui est, à son tour, obtenu à l’aide d’une commande curl ou wget.
Persistance |
Le binaire ELF basé sur Go, en plus d’incorporer des mécanismes pour résister à l’ingénierie inverse, agit comme un téléchargeur pour un programme d’installation XMRig hébergé sur GitHub. Il est également chargé d’effectuer une série d’étapes pour établir la persistance, mettre fin aux mineurs concurrents et lancer le mineur.
En plus de cela, Migo désactive Linux à sécurité améliorée (SELinux) et recherche des scripts de désinstallation pour les agents de surveillance regroupés dans les instances de calcul de fournisseurs de cloud tels que Qcloud et Alibaba Cloud. Il déploie en outre une version modifiée (« libsystemd.so ») d’un rootkit en mode utilisateur populaire nommé libprocesshider pour masquer les processus et les artefacts sur le disque.
Il convient de souligner que ces actions recoupent les tactiques adoptées par des groupes de cryptojacking connus comme TeamTNT, Chien de gardeRocke et les acteurs menaçants associés au malware SkidMap.
« Il est intéressant de noter que Migo semble parcourir de manière récursive les fichiers et les répertoires sous /etc », a noté Muir. « Le malware lira simplement les fichiers situés à ces emplacements et ne fera rien avec le contenu. »
« Une théorie est qu’il pourrait s’agir d’une (faible) tentative de confondre les solutions de bac à sable et d’analyse dynamique en effectuant un grand nombre d’actions bénignes, aboutissant à une classification non malveillante. »
Une autre hypothèse est que le malware recherche un artefact spécifique à un environnement cible, bien que Cado ait déclaré n’avoir trouvé aucune preuve pour étayer ce raisonnement.
« Migo démontre que les attaquants axés sur le cloud continuent d’affiner leurs techniques et d’améliorer leur capacité à exploiter les services Web », a déclaré Muir.
« Bien que libprocesshider soit fréquemment utilisé dans les campagnes de cryptojacking, cette variante particulière inclut la possibilité de masquer les artefacts sur le disque en plus des processus malveillants eux-mêmes. »