Глобальная криптоджекинг-кампания TA-NATALSTATUS: хакеры годами скрытно майнят на уязвимых серверах

Аналитики компании CloudSEK выявили масштабную и высокоорганизованную кампанию по криптоджекингу, которую с 2020 года ведет группировка TA-NATALSTATUS. В 2025 году активность злоумышленников достигла глобальных масштабов: атаке подверглись незащищенные серверы Redis в США, Европе, России, Индии и других регионах. Группа не просто использует уязвимости для краткосрочного майнинга, а создает устойчивую инфраструктуру, которая остается незамеченной месяцами.

Описание

Основой для атак становятся неправильно сконфигурированные серверы Redis. Согласно данным CloudSEK, в мире десятки тысяч таких систем остаются открытыми для доступа извне. Например, в США незащищенными остаются более 17% серверов Redis, в Германии - 33%, в России - почти 40%, а в Финляндии - более 41%. Это создает идеальные условия для автоматизированных атак, которые TA-NATALSTATUS проводит с исключительной дисциплиной.

Группа не использует сложные уязвимости нулевого дня. Вместо этого злоумышленники применяют технику «наследования прав root»: если Redis запущен от имени суперпользователя, атакующие с помощью стандартных команд Redis перезаписывают файл cron, добавляя задание на выполнение вредоносного скрипта. В результате malware получает полный контроль над системой без необходимости эскалации привилегий.

После проникновения TA-NATALSTATUS реализует четыре этапа атаки, каждый из которых направлен на обеспечение скрытности, устойчивости и долгосрочного контроля. На этапе имплантации (скрипты ndt.sh/nnt.sh) злоумышленники отключают системы защиты: деактивируют SELinux, сбрасывают правила iptables и маскируют процессы майнинга. Ключевой элемент - подмена системных утилит, таких как ps и top. Оригинальные бинарные файлы переименовываются, а на их место устанавливаются вредоносные аналоги, которые скрывают процессы, связанные с майнером.

На этапе подготовки (is.sh) на сервер загружаются инструменты для сканирования сети, включая masscan и pnscan. Если установка через пакетный менеджер невозможна, скрипт компилирует их непосредственно на атакуемой машине. Это позволяет группе адаптироваться к различным окружениям и продолжать работу даже в ограниченных условиях.

Третий этап - распространение (rs.sh). Зараженный сервер превращается в элемент ботнета, который сканирует интернет в поисках других уязвимых Redis-инстансов. Для этого используется распределенная стратегия: каждому узлу назначается случайный сегмент IP-адресов, что позволяет избежать обнаружения на сетевом уровне.

Четвертый этап обеспечивает устойчивость инфекции. Скрипт nnt.sh, выполняемый через cron каждый час, работает как «переключатель мертвеца»: если основные компоненты malware удаляются, он автоматически восстанавливает их. Кроме того, с помощью команды chattr +i файлы делаются неизменяемыми, что блокирует попытки очистки даже для root-пользователя.

Отдельное внимание злоумышленники уделяют устранению конкурентов. В коде malware содержится обширный «список убийств» - перечень процессов, связанных с другими криптоджекинг-группировками, такими как Kinsing и DDG. Их принудительное завершение гарантирует, что ресурсы сервера полностью переходят под контроль TA-NATALSTATUS.

Для проверки на заражение CloudSEK рекомендует использовать прямое взаимодействие с системой, поскольку стандартные инструменты мониторинга могут быть скомпрометированы. Следует проверить наличие переименованных бинарных файлов (например, ps.original), analyze cron-задания с перенаправлением вывода в /dev/null, а также проверить файлы на атрибут неизменяемости с помощью lsattr. Особое внимание необходимо уделить файлу authorized_keys, так как злоумышленники добавляют туда свой SSH-ключ с меткой uc1 для постоянного доступа.

Полное удаление malware требует последовательных действий: разблокировка заблокированных файлов, удаление вредоносных cron-заданий, восстановление оригинальных системных утилит и обязательное обновление конфигурации Redis. Однако эксперты подчеркивают, что единственным надежным способом остается полная переустановка системы с образа.

Глобальный масштаб кампании TA-NATALSTATUS демонстрирует, что даже давно известные уязвимости могут использоваться для создания высокоорганизованных и устойчивых атак. Недооценка рисков, связанных с неправильной конфигурацией сервисов, приводит к тому, что злоумышленники годами могут безнаказанно использовать ресурсы организаций по всему миру.