Một chiến dịch phần mềm độc hại mới đã được quan sát nhắm mục tiêu vào các máy chủ Redis để truy cập ban đầu với mục tiêu cuối cùng là khai thác tiền điện tử trên các máy chủ Linux bị xâm nhập.
"Chiến dịch đặc biệt này liên quan đến việc sử dụng một số kỹ thuật làm suy yếu hệ thống mới chống lại chính kho dữ liệu", nhà nghiên cứu bảo mật Matt Muir của Cado cho biết trong một báo cáo kỹ thuật.
Cuộc tấn công cryptojacking được tạo điều kiện bởi một phần mềm độc hại có tên mã Migo, một tệp nhị phân Golang ELF được trang bị xáo trộn thời gian biên dịch và khả năng tồn tại trên các máy Linux.
Công ty bảo mật đám mây cho biết họ đã phát hiện ra chiến dịch sau khi xác định được một "loạt lệnh bất thường" nhắm vào các honeypot Redis được thiết kế để giảm khả năng phòng thủ an ninh bằng cách vô hiệu hóa các tùy chọn cấu hình sau:
Người ta nghi ngờ rằng các tùy chọn này bị tắt để gửi các lệnh bổ sung đến máy chủ Redis từ các mạng bên ngoài và tạo điều kiện khai thác trong tương lai mà không thu hút nhiều sự chú ý.
Bước này sau đó được theo sau bởi các tác nhân đe dọa thiết lập hai khóa Redis, một khóa trỏ đến khóa SSH do kẻ tấn công kiểm soát và khóa còn lại hướng đến tác vụ cron truy xuất tải trọng chính độc hại từ dịch vụ truyền tệp có tên Transfer.sh, một kỹ thuật được phát hiện trước đó vào đầu năm 2023.
Tập lệnh shell để tìm nạp Migo bằng Transfer.sh được nhúng trong tệp Padebin, lần lượt, thu được bằng lệnh curl hoặc wget.
Nhị phân ELF dựa trên Go, bên cạnh việc kết hợp các cơ chế để chống lại kỹ thuật đảo ngược, hoạt động như một trình tải xuống cho trình cài đặt XMRig được lưu trữ trên GitHub. Nó cũng chịu trách nhiệm thực hiện một loạt các bước để thiết lập sự kiên trì, chấm dứt các thợ đào cạnh tranh và khởi chạy công cụ khai thác.
Trên hết, Migo vô hiệu hóa Security-Enhanced Linux (SELinux) và tìm kiếm các tập lệnh gỡ cài đặt cho các tác nhân giám sát được đóng gói trong các phiên bản điện toán từ các nhà cung cấp đám mây như Qcloud và Alibaba Cloud. Nó tiếp tục triển khai một phiên bản sửa đổi ("libsystemd.so") của một rootkit chế độ người dùng phổ biến có tên libprocesshider để ẩn các tiến trình và tạo tác trên đĩa.
Cần chỉ ra rằng những hành động này trùng lặp với các chiến thuật được áp dụng bởi các nhóm cryptojacking đã biết như TeamTNT, WatchDog, Rocke và các tác nhân đe dọa liên quan đến phần mềm độc hại SkidMap.
"Thật thú vị, Migo dường như lặp lại đệ quy thông qua các tệp và thư mục dưới /etc", Muir lưu ý. "Phần mềm độc hại sẽ chỉ đơn giản là đọc các tệp ở những vị trí này và không làm bất cứ điều gì với nội dung."
"Một giả thuyết cho rằng đây có thể là một nỗ lực (yếu) để nhầm lẫn các giải pháp phân tích động và hộp cát bằng cách thực hiện một số lượng lớn các hành động lành tính, dẫn đến phân loại không độc hại."
Một giả thuyết khác là phần mềm độc hại đang tìm kiếm một tạo tác cụ thể cho môi trường mục tiêu, mặc dù Cado cho biết họ không tìm thấy bằng chứng nào để hỗ trợ dòng lý luận này.
"Migo chứng minh rằng những kẻ tấn công tập trung vào đám mây đang tiếp tục tinh chỉnh các kỹ thuật của họ và cải thiện khả năng khai thác các dịch vụ đối mặt với web", Muir nói.
"Mặc dù libprocesshider thường được sử dụng bởi các chiến dịch cryptojacking, biến thể đặc biệt này bao gồm khả năng ẩn các tạo tác trên đĩa ngoài các quy trình độc hại."