Uma nova campanha de malware tem como alvo os servidores Redis para implantar o minerador de criptografia Migo em hosts Linux comprometidos. A informação vem de pesquisadores da Caro Security. A campanha se destaca pelo uso de diversas técnicas inovadoras de enfraquecimento do sistema contra o próprio armazenamento de dados.
Minerador de criptografia Migo usado em campanha contra os servidores Redis
Migo é um binário Golang ELF com ofuscação em tempo de compilação, também é capaz de manter persistência em hosts Linux. Os pesquisadores também observaram o malware usando uma nova versão de um popular rootkit de modo de usuário para evitar a detecção, ocultando processos e artefatos no disco.
Os pesquisadores descobriram inicialmente que novos “comandos de enfraquecimento do sistema Redis” foram usados em ataques em estado selvagem, e então notaram que esses comandos foram usados em uma recente campanha de malware direcionada a sistemas Redis.
Um dos honeypots usados pelo Cado foi alvo de um ataque originado do IP 103[.]79[.]118[.]221 que desabilitou as seguintes opções de configuração usando o recurso de conjunto de configuração da interface de linha de comando (CLI) do Redis: definir modo protegido; réplica somente leitura; aof-rewrite-incremental-fsync; rdb-save-incremental-fsync.
Os invasores desabilitaram essas opções para enviar comandos adicionais ao servidor Redis e permitir futuras invasões evitando a defesa.
Depois de desabilitar esses parâmetros de configuração, o invasor usa o comando set para definir os valores de duas chaves Redis separadas
Uma chave recebe um valor de string correspondente a uma chave SSH controlada por um invasor mal-intencionado e a outra a um trabalho Cron que recupera a carga primária maliciosa de Transfer.sh (um mecanismo de distribuição relativamente incomum anteriormente coberto pelo Cado) via Pastebin.
Cado Security
A carga útil principal do Migo (/tmp/.migo) é distribuída como um arquivo ELF compactado com UPX, vinculado estaticamente e removido. Este arquivo ELF pode ser direcionado à arquitetura x86_64. O exemplo emprega empacotamento UPX padrão, preservando o cabeçalho UPX, e pode ser facilmente descompactado usando o comando upx -d.
Após a execução, o binário Migo verifica a presença de um arquivo em /tmp/.migo_running. Se esse arquivo não existir, o código malicioso o cria, determina seu próprio ID de processo e o grava no arquivo. O arquivo é uma espécie de mercado de infecção para o invasor. Em seguida, o binário baixa um instalador XMRig hospedado no GitHub, encerra os mineradores concorrentes e estabelece a persistência e, em seguida, inicia o minerador.
O Migo
Migo demonstra o interesse dos atores de ameaças em direcionar a infraestrutura em nuvem para fins de mineração. Os invasores continuam a melhorar sua capacidade de explorar serviços voltados para a Web. Os pesquisadores acreditam que os desenvolvedores do Migo possuem conhecimento do processo de análise de malware, implementando medidas extras para ocultar símbolos e strings dentro da estrutura pclntab, complicando assim a engenharia reversa.