Er is een nieuwe malwarecampagne waargenomen die zich richt op Redis-servers voor initiële toegang met als uiteindelijk doel het minen van cryptocurrency op gecompromitteerde Linux-hosts.
“Deze specifieke campagne omvat het gebruik van een aantal nieuwe systeemverzwakkende technieken tegen de dataopslag zelf”, zei Cado-beveiligingsonderzoeker Matt Muir in een technisch rapport.
De cryptojacking-aanval wordt mogelijk gemaakt door malware met de codenaam Migo, een Golang ELF-binair bestand dat is uitgerust met verduistering tijdens het compileren en de mogelijkheid om te blijven bestaan op Linux-machines.
Het cloudbeveiligingsbedrijf zei dat het de campagne ontdekte nadat het een ‘ongebruikelijke reeks opdrachten’ had geïdentificeerd die gericht waren op zijn Redis-honingpots die zijn ontworpen om de beveiligingsverdediging te verlagen door de volgende configuratie-opties uit te schakelen:
Het vermoeden bestaat dat deze opties zijn uitgeschakeld om extra opdrachten vanaf externe netwerken naar de Redis-server te sturen en toekomstige exploitatie te vergemakkelijken zonder veel aandacht te trekken.
Deze stap wordt vervolgens gevolgd door cybercriminelen die twee Redis-sleutels instellen, waarvan de ene verwijst naar een door de aanvaller bestuurde SSH-sleutel en de andere naar een cron-taak die de kwaadaardige primaire payload ophaalt van een bestandsoverdrachtsservice genaamd Transfer.sh, een techniek die eerder werd opgemerkt begin 2023.
Het shellscript om Migo op te halen met behulp van Transfer.sh is ingebed in een Pastebin-bestand dat op zijn beurt wordt verkregen met behulp van een curl- of wget-opdracht.
Het op Go gebaseerde ELF-binaire bestand bevat niet alleen mechanismen om reverse engineering te weerstaan, maar fungeert ook als downloader voor een XMRig-installatieprogramma dat op GitHub wordt gehost. Het is ook verantwoordelijk voor het uitvoeren van een reeks stappen om persistentie tot stand te brengen, concurrerende mijnwerkers te beëindigen en de mijnwerker te lanceren.
Bovendien schakelt Migo Security-Enhanced Linux (SELinux) uit en zoekt naar verwijderingsscripts voor het monitoren van agenten die zijn gebundeld in rekeninstanties van cloudproviders zoals Qcloud en Alibaba Cloud. Het implementeert verder een aangepaste versie (“libsystemd.so”) van een populaire rootkit in de gebruikersmodus genaamd libprocesshider om processen en artefacten op de schijf te verbergen.
Het is de moeite waard erop te wijzen dat deze acties overlappen met de tactieken van bekende cryptojacking-groepen zoals TeamTNT, WatchDog, Rocke en bedreigingsactoren die verband houden met de SkidMap-malware.
“Interessant genoeg lijkt Migo recursief door bestanden en mappen onder /etc te itereren,” merkte Muir op. “De malware leest eenvoudigweg de bestanden op deze locaties en doet niets met de inhoud.”
“Eén theorie is dat dit een (zwakke) poging zou kunnen zijn om sandbox- en dynamische analyseoplossingen met elkaar te verwarren door een groot aantal goedaardige acties uit te voeren, resulterend in een niet-kwaadwillige classificatie.”
Een andere hypothese is dat de malware op zoek is naar een artefact dat specifiek is voor een doelomgeving, hoewel Cado zegt dat het geen bewijs heeft gevonden dat deze redenering ondersteunt.
“Migo laat zien dat cloudgerichte aanvallers hun technieken blijven verfijnen en hun vermogen om webgerichte services te exploiteren verbeteren”, aldus Muir.
“Hoewel libprocesshider vaak wordt gebruikt door cryptojacking-campagnes, biedt deze specifieke variant de mogelijkheid om artefacten op de schijf te verbergen, naast de kwaadaardige processen zelf.”
