Киберпреступная группа, отслеживаемая под именем TA-NATALSTATUS, проводит масштабную кампанию по криптоджекингу, используя изощренные методы уклонения, характерные для руткитов. Атака нацелена на серверы Redis, ошибочно выставленные в интернет без базовых мер защиты. Злоумышленники используют встроенные команды Redis для получения прав root, скрытой установки майнеров и обеспечения устойчивого присутствия в системе.
Эксперты по безопасности настоятельно рекомендуют рассматривать любой экземпляр Redis, доступный извне без аутентификации, как скомпрометированный. Группа активно действует с 2020 года, но именно в 2025 году была зафиксирована значительная эскалация их активности. География атак обширна: наиболее высокий процент открытых серверов Redis зафиксирован в Финляндии (41%), России (39%) и Германии (33%). Серьезному риску также подвержены США и Великобритания.
Механика атаки отражает высокий уровень технической подготовки. Используя нативные команды Redis, такие как CONFIG SET и SLAVEOF, злоумышленники получают возможность записывать вредоносные задания в cron для обеспечения постоянства, отключать системы безопасности (SELinux, файерволы) и добавлять SSH-бэкдоры. Однако ключевой особенностью кампании является применение стелс-технологий. TA-NATALSTATUS переименовывает критические системные утилиты, такие как ps, top, curl и wget, чтобы скрыть свои процессы и активность от системных администраторов. Дополнительный уровень скрытности обеспечивается установкой immutable flags (chattr +i) на свои файлы, что предотвращает их изменение или удаление.
Для поиска новых жертв и перемещения внутри сетей группа использует сетевые сканеры, включая masscan и pnscan. Примечательной и агрессивной тактикой является целенаправленное устранение конкурирующего вредоносного ПО для майнинга, такого как Kinsing. Это позволяет группе монополизировать вычислительные ресурсы жертвы, максимизируя доход, и одновременно усложняет обнаружение, так как системы могут казаться "чистыми" от более заметных угроз.
Основными жертвами кампании становятся организации из секторов облачная инфраструктура, критически инфраструктуры, технологии, производство и медиа. Для них последствия выражаются не только в кражe вычислительных мощностей, но и в прямых финансовых потерях из-за резкого роста счетов за облачные услуги, простоев систем и затрат на реагирование на инциденты. Длительное время пребывания (dwell time) злоумышленников в системе усугубляет эти потери.
Для противодействия угрозе необходимо немедленно принять комплекс мер. Первоочередная задача - закрыть внешний доступ к Redis. Это включает вязание сервиса только на localhost или внутри VPC, обязательное использование аутентификации (requirepass) и активацию protected-mode. Сетевые сегментация и строгие правила группы безопасности/ACL являются обязательными.
Обнаружение уже существующего вмешательства требует акцента на аномалиях. Следует искать переименованные системные утилиты, файлы с установленным атрибутом неизменяемости, неизвестные записи в cron и аномально высокую нагрузку на CPU процессами с замаскированными именами. В сетевом трафике индикаторами могут служить исходящие подключения к известным пулам для майнинга (Stratum protocol на портах 3333, 4444, 5555) и попытки латерального движения с помощью сканеров.
Полное устранение угрозы подразумевает не просто удаление майнера, а полное восстановление целостности системы. Это включает удаление immutable-атрибутов, очистку всех механизмов персистентности (cron, systemd, backdoors) и переустановку скомпрометированных бинарников из проверенных источников. В сложных случаях рекомендуется полная пересборка образа системы.
На стратегическом уровне организациям следует пересмотреть подход к безопасности Redis, treating it as a critical business risk. Включение метрик, связанных с криптоджекингом (время на устранение, предотвращенные финансовые потери), в общую киберстатистику поможет оценить эффективность защитных мер. Регулярные аудиты на наличие ошибочно выставленных в интернет сервисов и сканирование на misconfigurations должны стать стандартной практикой.
Кампания TA-NATALSTATUS наглядно демонстрирует, как устаревшие misconfigurations в фундаментальных сервисах могут быть использованы для создания устойчивых и дорогостоящих угроз. Ответом должна стать комбинация незамедлительных технических исправлений, усиленного мониторинга и стратегического пересмотра подходов к безопасности облачной инфраструктуры.
