Güvenlik araştırmacıları, kripto para birimi için maden yapmak için 'Migo' adlı bir kötü amaçlı yazılım kullanarak Linux ana bilgisayarlarındaki REDIS sunucularını hedefleyen yeni bir kampanya keşfetti.
Redis (Uzak Sözlük Sunucusu), yüksek performansıyla bilinen bir veritabanı, önbellek ve mesaj brokeri olarak kullanılan ve oyun, teknoloji, finansal hizmetler gibi sektörlerde gerçek zamanlı uygulamalar için saniyede binlerce istek sunan bellek içi bir veri yapısı mağazasıdır. ve sağlık hizmetleri.
Bilgisayar korsanları, kaynakları ele geçirmek, verileri çalmak ve diğer kötü amaçlı amaçları her zaman açık ve potansiyel olarak savunmasız Redis sunucuları ararlar.
Yeni kötü amaçlı yazılım suşu ile ilgili ilginç olan, REDIS güvenlik özelliklerini kapatan ve kriptolama faaliyetlerinin uzun süreler boyunca devam etmesine izin veren sistem bilarme komutlarının kullanılmasıdır.
MIGO kampanyası, saldırganların koruyucu konfigürasyonları kapatmak ve sunucuyu sömürmek için CLI komutlarını kullandıklarını gözlemleyen Cloud Adli Tıp Sağlayıcısı Cado Security'deki analistler tarafından tespit edildi.
Maruz kalan Redis sunucularından ödün verdikten sonra, saldırganlar sonraki komutların alınmasına ve kopyaların yazılabilir hale getirilmesine izin vermek için kritik güvenlik özelliklerini devre dışı bırakır.
Cado, saldırganların Redis CLI aracılığıyla aşağıdaki yapılandırma seçeneklerini devre dışı bıraktığını fark ettiklerini söyledi.
Daha sonra, saldırganlar, Migo’nun birincil yükünü (/tmp/.migo) transfer.sh'dan bir arka plan görevi olarak yürütülecek bir komut dosyası indiren bir cron işi kurdu.
Bu, GO'da derlenmiş olan ve analizi engellemek için derleme zamanı gizlemesi içeren UPX dolu bir eld ikilidir.
Cado, Migo’nun birincil işlevinin, GitHub’ın CDN'sinden tehlikeye atılan uç noktaya değiştirilmiş bir XMRIG (Monero) madencisini almak, kurmak ve başlatmak olduğunu söylüyor.
Kötü amaçlı yazılım, bir SystemD hizmeti ve ilişkili zamanlayıcı oluşturarak madencinin kalıcılığını, sürekli çalışmasını sağlayarak, saldırganın hesabında kripto para madenciliği madenciliği oluşturur.
CADO, Migo'nun işlemlerini ve dosyalarını gizlemek için bir kullanıcı modu rootkit kullandığını, algılama ve kaldırmayı karmaşıklaştırdığını bildirdi.
Kötü amaçlı yazılım, "/etc/ld.so.preload" ı, süreçleri ve dosyaları listeleyen sistem araçlarının davranışını keserek değiştirmek ve varlığını etkili bir şekilde gizlemek için değiştirir.
Saldırı, MIGO'nun belirli IP'lere giden trafiği engellemek ve Selinux'u devre dışı bırakmak, bulut sağlayıcısı izleme aracılarını aramak ve potansiyel olarak devre dışı bırakmak ve rakip madencileri veya yükleri kaldırmak için komutları yürütmek için güvenlik duvarı kuralları ayarlaması ile sonuçlanır.
Ayrıca, bulut servis sağlayıcılarıyla iletişimi önlemek için /etc /ana bilgisayarları manipüle ederek etkinliğini daha da gizler.
Migo’nun saldırı zinciri, arkasındaki tehdit aktörünün Redis ortamı ve operasyonları hakkında güçlü bir anlayışa sahip olduğunu gösteriyor.
Her ne kadar kriptajlama tehdidi çok şiddetli olmasa da, kesintilere veya veri bozulmasına yol açmaz, tehdit oyuncusu daha bilinçli yükler sunmak için erişimi kullanabilir.
Docker ev sahibi, devam eden web sitesinde hacklenen trafik hırsızlığı şeması
Vastaamo hacker, 'izlenemez' Monero işlemleri ile izlendi, polis diyor
Hacker, Kriptoyu Yasadışı Mine etmek için 1 milyon sanal sunucuyu döndürüyor
Kaynak: Bleeping Computer