Migo: хитроумное оружие криптомайнеров в войне за ресурсы Redis

Che Browser Antidetect
Сервисы от NOVA

Support81

Original poster
Administrator
Сообщения
677
Реакции
191
Посетить сайт
Всего одна программа превращает серверы в майнинг-машины самыми изощренными методами.
redis.jpeg




Эксперты из компании

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

выявили новую вредоносную кампанию, нацеленную на серверы

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Получив первоначальный доступ к системам, злоумышленники майнят криптовалюту на скомпрометированных хостах под управлением Linux.

По словам Мэтта Мюира, одного из исследователей, в этой кампании применяется ряд принципиально новых методов для ослабления защиты серверов. В частности, отключаются такие параметры конфигурации, как protected-mode, replica-read-only, aof-rewrite-incremental-fsync и rdb-save-incremental-fsync. Такая стратегия позволяет хакерам отправлять дополнительные команды на сервер из внешних сетей, а также облегчает последующую эксплуатацию уязвимостей без привлечения лишнего внимания.

После отключения защитных механизмов злоумышленники устанавливают в системе два специальных ключа. Первый ключ содержит ссылку для загрузки вредоносной программы Migo.

Второй ключ запускает выполнение задачи Cron, которая периодически подключается к сервису Transfer.sh и загружает оттуда обновленные версии Migo. Этот сервис позволяет анонимно и бесплатно обмениваться файлами, он уже использовался злоумышленниками в похожих атаках в начале 2023 года.

Таким образом, атакующие получают возможность регулярно загружать на скомпрометированный сервер новые версии вредоносного ПО или другие инструменты по своему усмотрению.

В коде Migo реализованы различные методы обфускации, затрудняющие обратную разработку и анализ программы.

Основной функционал Migo — это загрузка и запуск майнера XMRig. Помимо этого, программа выполняет ряд других важных задач: обеспечивает закрепление в системе и запуск по расписанию, блокирует конкурирующее майнинговое ПО и инициирует сам процесс

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

на зараженном устройстве.

Инструмент также отключает в Linux подсистему SELinux, которая отвечает за расширенные механизмы безопасности. Без SELinux Migo может действовать беспрепятственно.

Migo осуществляет поиск и удаление скриптов для деинсталляции программных агентов мониторинга системы. Такие агенты часто внедряют облачные хостинг-провайдеры для защиты своей инфраструктуры.

Для маскировки запущенных процессов и следов в файлах Migo использует модифицированную версию популярного Linux руткита libprocesshider. Руткиты позволяют скрывать наличие вредоносных программ от стандартных средств обнаружения.

Как отмечает Мюир, тактика программы Migo во многом пересекается с методами, применяемыми другими известными хакерскими группами, такими как TeamTNT, WatchDog и Rocke.

Аналитики

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

отмечают, что злоумышленники постоянно создают и улучшают вредоносные инструменты для атак на популярные веб-платформы и сервисы.

Cado Security рекомендует администраторам серверов Redis и других распространенных веб-приложений проявлять повышенную бдительность в свете подобных киберугроз и следить за обновлениями средств защиты.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.