Ερευνητές ασφαλείας ανακάλυψαν μια νέα κακόβουλη καμπάνια που στοχεύει Redis servers σε Linux συστήματα, χρησιμοποιώντας ένα νέο malware με το όνομα “Migo“. Στόχος είναι το cryptomining.
Το Redis (Remote Dictionary Server) χρησιμοποιείται ως βάση δεδομένων, προσωρινή μνήμη και message broker. Ξεχωρίζει για την υψηλή του απόδοση, εξυπηρετώντας χιλιάδες αιτήματα ανά δευτερόλεπτο για εφαρμογές σε πραγματικό χρόνο και χρησιμοποιείται σε κλάδους όπως το gaming, η τεχνολογία, οι χρηματοοικονομικές υπηρεσίες και η υγειονομική περίθαλψη.
Οι Redis servers βρίσκονται συχνά στο στόχαστρο hackers που θέλουν να κλέψουν πόρους και δεδομένα, αλλά και να πραγματοποιήσουν άλλες κακόβουλες δραστηριότητες.
Το νέο Migo malware που χρησιμοποιείται για τη στόχευση Redis servers ξεχωρίζει για τη χρήση εντολών αποδυνάμωσης του συστήματος, οι οποίες απενεργοποιούν τις λειτουργίες ασφαλείας του Redis, επιτρέποντας το cryptomining.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Δείτε επίσης: Συνελήφθη ο Ουκρανός διαχειριστής του Raccoon Infostealer Malware
Οι επιθέσεις με το Migo malware εντοπίστηκαν από αναλυτές της Cado Security, οι οποίοι παρατήρησαν ότι οι εισβολείς χρησιμοποιούσαν εντολές CLI στα honeypots τους, για να απενεργοποιήσουν τα μέτρα προστασίας και να εκμεταλλευτούν τον διακομιστή.
Κατά την παραβίαση των εκτεθειμένων διακομιστών Redis, οι εισβολείς απενεργοποιούν κρίσιμες λειτουργίες ασφαλείας, για λήψη επακόλουθων εντολών και άλλες κακόβουλες δραστηριότητες.
Συγκεκριμένα, σύμφωνα με τους ερευνητές, απενεργοποιούνταν οι ακόλουθες επιλογές διαμόρφωσης:
set protected-mode: η απενεργοποίηση επιτρέπει την εξωτερική πρόσβαση στον Redis server, διευκολύνοντας την εκτέλεση εντολών απομακρυσμένα.
Replica-read-only: η απενεργοποίηση επιτρέπει στους εισβολείς να γράφουν απευθείας σε αντίγραφα και να διαδίδουν κακόβουλα payloads ή τροποποιήσεις δεδομένων.
aof-rewrite-incremental-fsync: η απενεργοποίηση βοηθά τους εισβολείς να παραμείνουν απαρατήρητοι αποσπώντας εργαλεία ανίχνευσης με ασυνήθιστα μοτίβα IO.
rdb-save-incremental-fsync: η απενεργοποίησή του μπορεί να προκαλέσει υποβάθμιση της απόδοσης κατά την αποθήκευση RDB snapshot, επιτρέποντας στους εισβολείς να προκαλέσουν denial of service (DoS).
Οι ερευνητές λένε ότι οι hackers δημιουργούν μετά ένα cron job που κατεβάζει ένα script από το Pastebin. Αυτό φέρνει το κύριο malware Migo (/tmp/.migo) από το Transfer.sh για να εκτελεστεί ως background task.
Δείτε επίσης: Τα έγγραφα PDF χρησιμοποιούνται όλο και πιο πολύ για τη διανομή malware
H Cado λέει ότι η κύρια λειτουργία του Migo malware σε Redis servers είναι η ανάκτηση, εγκατάσταση και εκκίνηση ενός τροποποιημένου XMRig (Monero) miner στο παραβιασμένο τελικό σημείο, για cryptomining.
Το κακόβουλο λογισμικό δημιουργεί persistence για τον miner δημιουργώντας μια υπηρεσία systemd και το σχετικό timer. Διασφαλίζει ότι το miner εκτελείται συνεχώς, εξορύσσοντας κρυπτονομίσματα για λογαριασμό του εισβολέα.
Η Cado αναφέρει ότι το Migo malware χρησιμοποιεί ένα user-mode rootkit για να κρύβει τις διαδικασίες και τα αρχεία του, περιπλέκοντας τον εντοπισμό και την αφαίρεση.
Το κακόβουλο λογισμικό τροποποιεί το “/etc/ld.so.preload” για να παρέμβει και να αλλάξει τη συμπεριφορά των εργαλείων του συστήματος που απαριθμούν διεργασίες και αρχεία, αποκρύπτοντας ουσιαστικά την παρουσία του.
Η επίθεση ολοκληρώνεται με τη δημιουργία firewall rules για τον αποκλεισμό του εξερχόμενου traffic σε ορισμένες IP και την εκτέλεση εντολών για την απενεργοποίηση του SELinux. Επίσης, γίνεται αναζήτηση και πιθανή απενεργοποίηση cloud provider monitoring agents και κατάργηση ανταγωνιστικών miners ή payloads.
Τα παραπάνω δείχνουν ότι η προστασία από το cryptomining είναι απαραίτητη, καθώς αυτή η πρακτική είναι όλο και πιο συνηθισμένη. Το cryptomining έχει τη δυνατότητα να αξιοποιεί τους πόρους της συσκευής σας, εκθέτοντάς σας σε πολλούς κινδύνους. Αλλά μην ανησυχείτε, υπάρχουν κάποιοι τρόποι να προστατευτείτε.
Δείτε επίσης: SNS Sender Malware διανέμει Phishing SMS μέσω της Amazon
Αρχικά, θα πρέπει να διατηρείτε το λογισμικό των συσκευών σας ενημερωμένο. Οι ενημερώσεις ασφαλείας βοηθούν στη διόρθωση κενών ασφαλείας που θα μπορούσαν να αξιοποιηθούν από κυβερνοεγκληματίες που στοχεύουν στο cryptomining.
Έπειτα, χρησιμοποιήστε προγράμματα antivirus και προγράμματα ανίχνευσης εισβολής. Εξετάστε τη δυνατότητα χρήσης ειδικών προγραμμάτων ή επεκτάσεων για την αποτροπή της διεξαγωγής cryptomining στη συσκευή σας. Αυτού του είδους τα εργαλεία μπορούν να αναγνωρίσουν και να αποκλείσουν τα scripts για cryptomining που λειτουργούν στον web browser σας.
Τέλος, είναι σημαντικό να είστε προσεκτικοί με τα sites που επισκέπτεστε και τα αρχεία που κατεβάζετε.
Με την προστασία από το cryptomining, μπορείτε να συνεχίσετε να χρησιμοποιείτε το διαδίκτυο με ασφάλεια. Πάντα θυμηθείτε, η γνώση είναι δύναμη – μάθετε για τους πιθανούς κινδύνους και πώς να τους αντιμετωπίσετε.
Πηγή: www.bleepingcomputer.com