Киберпреступники атакуют Redis-серверы с помощью нового майнера Migo

Злоумышленники используют инновационные команды ослабления защиты Redis для получения первоначального доступа. В частности, они отключают protected-mode (защищенный режим), replica-read-only (режим только для чтения реплик) и другие критические настройки через интерфейс командной строки Redis. Это позволяет обойти встроенные механизмы безопасности и подготовить почву для развертывания payload (полезной нагрузки).

Основная нагрузка представляет собой скомпилированный в Go ELF-бинарник, упакованный с помощью UPX и использующий обфускацию на этапе компиляции для затруднения анализа. После проникновения Migo загружает установщик XMRig напрямую с GitHub, настраивает конфигурацию майнера и обеспечивает устойчивость на системе через механизм systemd.

Особенностью кампании стало использование модифицированной версии пользовательского руткита libprocesshider, который скрывает процессы и файловые артефакты майнера от стандартных инструментов мониторинга. Это значительно осложняет обнаружение и последующий форензик-анализ.

Migo также предпринимает активные действия по устранению конкурирующих майнеров, блокирует исходящие подключения к IP-адресам cloud-провайдеров и вносит изменения в файл /etc/hosts для предотвращения связи с системами мониторинга. Атака демонстрирует растущую изощренность облачных злоумышленников, которые продолжают совершенствовать свои методы эксплуатации уязвимостей.

Эксперты рекомендуют администраторам Redis-серверов обеспечить строгую настройку аутентификации, ограничить сетевой доступ к портам Redis и регулярно обновлять программное обеспечение. Мониторинг необычной активности в конфигурационных файлах и неожиданных изменений в системных настройках может помочь в раннем обнаружении подобных атак.

IPv4

• 103.79.118.221

SHA256

• 2b03943244871ca75e44513e4d20470b8f3e0f209d185395de82b447022437ec
• 32d32bf0be126e685e898d0ac21d93618f95f405c6400e1c8b0a8a72aa753933
• 364a7f8e3701a340400d77795512c18f680ee67e178880e1bb1fcda36ddbc12c
• 5dc4a48ebd4f4be7ffcf3d2c1e1ae4f2640e41ca137a58dbb33b0b249b68759e
• 76ecd546374b24443d76c450cb8ed7226db84681ee725482d5b9ff4ce3273c7f
• 8cce669c8f9c5304b43d6e91e6332b1cf1113c81f355877dabd25198c3c3f208
• c5dc12dbb9bb51ea8acf93d6349d5bc7fe5ee11b68d6371c1bbb098e21d0f685