Migo: хитроумное оружие криптомайнеров в войне за ресурсы Redis

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Всего одна программа превращает серверы в майнинг-машины самыми изощренными методами.

Эксперты из компании Cado Security выявили новую вредоносную кампанию, нацеленную на серверы Redis. Получив первоначальный доступ к системам, злоумышленники майнят криптовалюту на скомпрометированных хостах под управлением Linux.

По словам Мэтта Мюира, одного из исследователей, в этой кампании применяется ряд принципиально новых методов для ослабления защиты серверов. В частности, отключаются такие параметры конфигурации, как protected-mode, replica-read-only, aof-rewrite-incremental-fsync и rdb-save-incremental-fsync. Такая стратегия позволяет хакерам отправлять дополнительные команды на сервер из внешних сетей, а также облегчает последующую эксплуатацию уязвимостей без привлечения лишнего внимания.

После отключения защитных механизмов злоумышленники устанавливают в системе два специальных ключа. Первый ключ содержит ссылку для загрузки вредоносной программы Migo.

Второй ключ запускает выполнение задачи Cron, которая периодически подключается к сервису Transfer.sh и загружает оттуда обновленные версии Migo. Этот сервис позволяет анонимно и бесплатно обмениваться файлами, он уже использовался злоумышленниками в похожих атаках в начале 2023 года.

Таким образом, атакующие получают возможность регулярно загружать на скомпрометированный сервер новые версии вредоносного ПО или другие инструменты по своему усмотрению.

В коде Migo реализованы различные методы обфускации, затрудняющие обратную разработку и анализ программы.

Забудь про блокировки! VPN через Телеграмм-бот для России!

Основной функционал Migo — это загрузка и запуск майнера XMRig. Помимо этого, программа выполняет ряд других важных задач: обеспечивает закрепление в системе и запуск по расписанию, блокирует конкурирующее майнинговое ПО и инициирует сам процесс майнинга на зараженном устройстве.

Инструмент также отключает в Linux подсистему SELinux, которая отвечает за расширенные механизмы безопасности. Без SELinux Migo может действовать беспрепятственно.

  Neuralink: разбираемся в рисках новой технологии

Migo осуществляет поиск и удаление скриптов для деинсталляции программных агентов мониторинга системы. Такие агенты часто внедряют облачные хостинг-провайдеры для защиты своей инфраструктуры.

Для маскировки запущенных процессов и следов в файлах Migo использует модифицированную версию популярного Linux руткита libprocesshider. Руткиты позволяют скрывать наличие вредоносных программ от стандартных средств обнаружения.

Как отмечает Мюир, тактика программы Migo во многом пересекается с методами, применяемыми другими известными хакерскими группами, такими как TeamTNT, WatchDog и Rocke.

Аналитики Cado Security отмечают, что злоумышленники постоянно создают и улучшают вредоносные инструменты для атак на популярные веб-платформы и сервисы.

Cado Security рекомендует администраторам серверов Redis и других распространенных веб-приложений проявлять повышенную бдительность в свете подобных киберугроз и следить за обновлениями средств защиты.

Ваши гаджеты следят за вами. Мы знаем, как это остановить!

Присоединяйтесь

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.