安全研究人员遇到了一种新的加密劫持活动,该活动使用一种名为 Migo 的新恶意软件,该恶意软件针对 Linux 主机上的 Redis 服务器。在 Cado Security 研究人员注意到在野外利用 Redis 系统的新命令后,该活动曝光了。
初始访问
根据 Cado security 的说法,Migo 是作为 Golang ELF 二进制文件分发的,具有编译时混淆功能,并且能够在 Linux 主机上持久化。
攻击的初始访问阶段涉及使用特定的 CLI 命令禁用 Redis 的各种配置选项。
例如,攻击者关闭保护模式和副本只读等功能,以方便其恶意活动。
丢弃有效负载
获得访问权限后,他们设置了一系列命令来检索恶意负载,包括 Migo,来自 Transfer.sh 和 Pastebin 等外部来源。
这些有效载荷旨在在后台挖掘加密货币,同时保持不被发现。
Migo能力
它的主要功能是直接从 GitHub 的 CDN 在受感染的端点上获取、安装和启动修改后的 XMRig 矿工。
它使用用户模式 rootkit 来隐藏其进程和文件,使检测过程变得困难。此外,它还会操纵 /etc/hosts 来阻止与云服务提供商的通信,从而在感染期间隐藏其活动。
基于云的应用程序 - 可行的攻击媒介
Redis 与其他流行的云原生技术(如 Kubernetes、Docker、Jupyter 和 Notebook)一起,在网络犯罪分子中很受欢迎,用于发起 DDoS 攻击或对加密货币进行非法挖掘。
最近,一个名为 Commando Cat 的加密劫持活动 被发现利用易受攻击的 Docker API 作为初始访问向量,以促进额外有效载荷和 shell 脚本的交付。
结论
Migo的出现表明,以云为中心的攻击者正在不断改进他们的技术和策略,以利用面向Web的服务。甚至使用 Go 语言生成编译的二进制文件也表明攻击者正在磨练他们的规避策略。随着他们的活动继续受到安全专家的关注,预计组织将利用与恶意软件相关的 IOC 来加快其威胁搜寻和调查过程。