Исследователи Cado Security Labs недавно столкнулись с новой кампанией вредоносного ПО, нацеленного на Redis для получения первоначального доступа. Хотя Redis не чужд эксплуатации со стороны злоумышленников, ориентированных на Linux и облачные технологии, в данной кампании используется ряд новых техник ослабления системы, направленных против самого хранилища данных.
Вредоносная программа, названная разработчиками Migo, направлена на компрометацию серверов Redis с целью добычи криптовалюты на базовом Linux-хосте.
- В природе обнаружены новые команды для ослабления системы Redis.
- Кампания использует эти команды для эксплуатации Redis с целью проведения атаки криптоджекинга.
- Migo поставляется в виде бинарного файла Golang ELF с обфускацией во время компиляции и способностью сохраняться на Linux-хостах
- Модифицированная версия популярного руткита с пользовательским режимом развертывается вредоносной программой для скрытия процессов и артефактов на диске
Indicators of Compromise
IPv4
- 103.79.118.221
SHA256
- 2b03943244871ca75e44513e4d20470b8f3e0f209d185395de82b447022437ec
- 32d32bf0be126e685e898d0ac21d93618f95f405c6400e1c8b0a8a72aa753933
- 364a7f8e3701a340400d77795512c18f680ee67e178880e1bb1fcda36ddbc12c
- 5dc4a48ebd4f4be7ffcf3d2c1e1ae4f2640e41ca137a58dbb33b0b249b68759e
- 76ecd546374b24443d76c450cb8ed7226db84681ee725482d5b9ff4ce3273c7f
- 8cce669c8f9c5304b43d6e91e6332b1cf1113c81f355877dabd25198c3c3f208
- c5dc12dbb9bb51ea8acf93d6349d5bc7fe5ee11b68d6371c1bbb098e21d0f685
