{"id":1157830,"date":"2024-02-20T14:06:35","date_gmt":"2024-02-20T16:06:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouveau-logiciel-malveillant-migo-ciblant-les-serveurs-redis-pour-lextraction-de-crypto-monnaie\/"},"modified":"2024-02-20T14:06:45","modified_gmt":"2024-02-20T16:06:45","slug":"nouveau-logiciel-malveillant-migo-ciblant-les-serveurs-redis-pour-lextraction-de-crypto-monnaie","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouveau-logiciel-malveillant-migo-ciblant-les-serveurs-redis-pour-lextraction-de-crypto-monnaie\/","title":{"rendered":"Nouveau logiciel malveillant Migo ciblant les serveurs Redis pour l&#8217;extraction de crypto-monnaie"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">20 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du serveur \/ Cryptojacking<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Nouveau-logiciel-malveillant-Migo-ciblant-les-serveurs-Redis-pour-lextraction.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Une nouvelle campagne de malware a \u00e9t\u00e9 observ\u00e9e ciblant les serveurs Redis pour un acc\u00e8s initial dans le but ultime d&#8217;extraire de la crypto-monnaie sur des h\u00f4tes Linux compromis.<\/p>\n<p>&#8220;Cette campagne particuli\u00e8re implique l&#8217;utilisation d&#8217;un certain nombre de nouvelles techniques d&#8217;affaiblissement du syst\u00e8me contre le magasin de donn\u00e9es lui-m\u00eame&#8221;, a d\u00e9clar\u00e9 Matt Muir, chercheur en s\u00e9curit\u00e9 chez Cado. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cadosecurity.com\/migo-a-redis-miner-with-novel-system-weakening-techniques\/\" target=\"_blank\">dit<\/a> dans un rapport technique.<\/p>\n<p>L&#8217;attaque de cryptojacking est facilit\u00e9e par un malware nomm\u00e9 Migo, un binaire Golang ELF dot\u00e9 d&#8217;un obfuscation au moment de la compilation et de la capacit\u00e9 de persister sur les machines Linux.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/boundaries728\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1708021586_957_Ivanti-Pulse-Secure-detecte-a-laide-dune-version-Linux-vieille.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 la campagne apr\u00e8s avoir identifi\u00e9 une \u00ab s\u00e9rie inhabituelle de commandes \u00bb ciblant ses pots de miel Redis, con\u00e7ues pour r\u00e9duire les d\u00e9fenses de s\u00e9curit\u00e9 en d\u00e9sactivant les options de configuration suivantes :<\/p>\n<p>On soup\u00e7onne que ces options sont d\u00e9sactiv\u00e9es afin d&#8217;envoyer des commandes suppl\u00e9mentaires au serveur Redis \u00e0 partir de r\u00e9seaux externes et de faciliter une exploitation future sans attirer beaucoup d&#8217;attention.<\/p>\n<p>Cette \u00e9tape est ensuite suivie par les acteurs malveillants qui configurent deux cl\u00e9s Redis, l&#8217;une pointant vers une cl\u00e9 SSH contr\u00f4l\u00e9e par l&#8217;attaquant et l&#8217;autre vers une t\u00e2che cron qui r\u00e9cup\u00e8re la charge utile principale malveillante \u00e0 partir d&#8217;un service de transfert de fichiers nomm\u00e9 Transfer.sh, une technique pr\u00e9c\u00e9demment rep\u00e9r\u00e9e. d\u00e9but 2023.<\/p>\n<p>Le script shell permettant de r\u00e9cup\u00e9rer Migo \u00e0 l&#8217;aide de Transfer.sh est int\u00e9gr\u00e9 dans un fichier Pastebin qui est, \u00e0 son tour, obtenu \u00e0 l&#8217;aide d&#8217;une commande curl ou wget.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Nouveau-logiciel-malveillant-Migo-ciblant-les-serveurs-Redis-pour-lextraction.jpg\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Nouveau-logiciel-malveillant-Migo-ciblant-les-serveurs-Redis-pour-lextraction.jpg\" alt=\"Serveurs Redis pour le minage de crypto-monnaie\" border=\"0\" data-original-height=\"392\" data-original-width=\"728\" title=\"Serveurs Redis pour le minage de crypto-monnaie\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Persistance<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Le binaire ELF bas\u00e9 sur Go, en plus d&#8217;incorporer des m\u00e9canismes pour r\u00e9sister \u00e0 l&#8217;ing\u00e9nierie inverse, agit comme un t\u00e9l\u00e9chargeur pour un programme d&#8217;installation XMRig h\u00e9berg\u00e9 sur GitHub.  Il est \u00e9galement charg\u00e9 d&#8217;effectuer une s\u00e9rie d&#8217;\u00e9tapes pour \u00e9tablir la persistance, mettre fin aux mineurs concurrents et lancer le mineur.<\/p>\n<p>En plus de cela, Migo d\u00e9sactive Linux \u00e0 s\u00e9curit\u00e9 am\u00e9lior\u00e9e (<a rel=\"nofollow noopener\" href=\"https:\/\/www.redhat.com\/en\/topics\/linux\/what-is-selinux\" target=\"_blank\">SELinux<\/a>) et recherche des scripts de d\u00e9sinstallation pour les agents de surveillance regroup\u00e9s dans les instances de calcul de fournisseurs de cloud tels que Qcloud et Alibaba Cloud.  Il d\u00e9ploie en outre une version modifi\u00e9e (\u00ab libsystemd.so \u00bb) d&#8217;un rootkit en mode utilisateur populaire nomm\u00e9 libprocesshider pour masquer les processus et les artefacts sur le disque.<\/p>\n<p>Il convient de souligner que ces actions recoupent les tactiques adopt\u00e9es par des groupes de cryptojacking connus comme TeamTNT, <a rel=\"nofollow noopener\" href=\"https:\/\/www.cadosecurity.com\/watchdog-continues-to-target-east-asian-csps\" target=\"_blank\">Chien de garde<\/a>Rocke et les acteurs mena\u00e7ants associ\u00e9s au malware SkidMap.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Le-logiciel-malveillant-Bumblebee-revient-avec-de-nouvelles-astuces-ciblant.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Il est int\u00e9ressant de noter que Migo semble parcourir de mani\u00e8re r\u00e9cursive les fichiers et les r\u00e9pertoires sous \/etc&#8221;, a not\u00e9 Muir.  &#8220;Le malware lira simplement les fichiers situ\u00e9s \u00e0 ces emplacements et ne fera rien avec le contenu.&#8221;<\/p>\n<p>&#8220;Une th\u00e9orie est qu&#8217;il pourrait s&#8217;agir d&#8217;une (faible) tentative de confondre les solutions de bac \u00e0 sable et d&#8217;analyse dynamique en effectuant un grand nombre d&#8217;actions b\u00e9nignes, aboutissant \u00e0 une classification non malveillante.&#8221;<\/p>\n<p>Une autre hypoth\u00e8se est que le malware recherche un artefact sp\u00e9cifique \u00e0 un environnement cible, bien que Cado ait d\u00e9clar\u00e9 n&#8217;avoir trouv\u00e9 aucune preuve pour \u00e9tayer ce raisonnement.<\/p>\n<p>&#8220;Migo d\u00e9montre que les attaquants ax\u00e9s sur le cloud continuent d&#8217;affiner leurs techniques et d&#8217;am\u00e9liorer leur capacit\u00e9 \u00e0 exploiter les services Web&#8221;, a d\u00e9clar\u00e9 Muir.<\/p>\n<p>&#8220;Bien que libprocesshider soit fr\u00e9quemment utilis\u00e9 dans les campagnes de cryptojacking, cette variante particuli\u00e8re inclut la possibilit\u00e9 de masquer les artefacts sur le disque en plus des processus malveillants eux-m\u00eames.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/new-migo-malware-targeting-redis.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80220 f\u00e9vrier 2024\ue804R\u00e9dactionS\u00e9curit\u00e9 du serveur \/ Cryptojacking Une nouvelle campagne de malware a \u00e9t\u00e9 observ\u00e9e ciblant les serveurs Redis pour un acc\u00e8s initial dans le but ultime d&#8217;extraire de la crypto-monnaie sur des h\u00f4tes Linux compromis. &#8220;Cette campagne particuli\u00e8re implique l&#8217;utilisation d&#8217;un certain nombre de nouvelles techniques d&#8217;affaiblissement du syst\u00e8me contre le magasin de donn\u00e9es [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1157831,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4175,4168,1966,4165,4161,200267,4159,4171,65,13102,6816,200271,7733,230899,200268,680,200269,200270,185,37829,128318,4172,4169,8541,4166,4164],"class_list":["post-1157830","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-ciblant","tag-comment-pirater","tag-cryptomonnaie","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-lextraction","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-migo","tag-mises-a-jour-sur-la-cybersecurite","tag-nouveau","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pour","tag-redis","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-serveurs","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1157830","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1157830"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1157830\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1157831"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1157830"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1157830"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1157830"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}