Kripto Para Madenciliği için Redis Sunucularını Hedefleyen Yeni Migo Kötü Amaçlı Yazılımı

Güvenliği ihlal edilmiş Linux ana bilgisayarlarında kripto para madenciliği yapmak nihai hedefiyle ilk erişim için Redis sunucularını hedef alan yeni bir kötü amaçlı yazılım kampanyası gözlemlendi.

Cado güvenlik araştırmacısı Matt Muir, teknik bir raporda, "Bu özel kampanya, veri deposunun kendisine karşı bir dizi yeni sistem zayıflatma tekniğinin kullanılmasını içeriyor" dedi.

Cryptojacking saldırısı, derleme zamanı gizleme ve Linux makinelerinde kalıcı olma yeteneği ile donatılmış bir Golang ELF ikili dosyası olan Migo kod adlı bir kötü amaçlı yazılım tarafından kolaylaştırılır.

Bulut güvenlik şirketi, aşağıdaki yapılandırma seçeneklerini devre dışı bırakarak güvenlik savunmasını azaltmak için tasarlanmış Redis balküplerini hedef alan "olağandışı bir dizi komut" belirledikten sonra kampanyayı tespit ettiğini söyledi:

Redis sunucusuna dış ağlardan ek komutlar göndermek ve fazla dikkat çekmeden gelecekteki istismarı kolaylaştırmak için bu seçeneklerin kapatıldığından şüpheleniliyor.

Bu adımı, biri saldırgan tarafından kontrol edilen bir SSH anahtarına, diğeri ise daha önce 2023'ün başlarında tespit edilen bir teknik olan Transfer.sh adlı bir dosya aktarım hizmetinden kötü amaçlı birincil yükü alan bir cron işine işaret eden iki Redis anahtarı ayarlayan tehdit aktörleri takip ediyor.

Migo'yu Transfer.sh kullanarak getirmek için kullanılan kabuk komut dosyası, bir curl veya wget komutu kullanılarak elde edilen bir Pastebin dosyasına gömülüdür.

Go tabanlı ELF ikilisi, tersine mühendisliğe direnmek için mekanizmalar içermenin yanı sıra, GitHub'da barındırılan bir XMRig yükleyicisi için bir indirici görevi görür. Ayrıca, kalıcılık sağlamak, rakip madencileri sonlandırmak ve madenciyi başlatmak için bir dizi adımı gerçekleştirmekten sorumludur.

Bunun da ötesinde, Migo, Güvenliği Geliştirilmiş Linux'u (SELinux) devre dışı bırakır ve Qcloud ve Alibaba Cloud gibi bulut sağlayıcılarından bilgi işlem örneklerinde paketlenmiş izleme aracıları için kaldırma komut dosyalarını arar. Ayrıca, işlemleri ve disk üzerindeki yapıtları gizlemek için libprocesshider adlı popüler bir kullanıcı modu rootkit'inin değiştirilmiş bir sürümünü ("libsystemd.so") dağıtır.

Bu eylemlerin TeamTNT, WatchDog, Rocke gibi bilinen cryptojacking grupları ve SkidMap kötü amaçlı yazılımıyla ilişkili tehdit aktörleri tarafından benimsenen taktiklerle örtüştüğünü belirtmekte fayda var.

Muir, "İlginç bir şekilde, Migo, /etc altındaki dosyalar ve dizinler arasında özyinelemeli olarak yineleniyor gibi görünüyor" dedi. "Kötü amaçlı yazılım, bu konumlardaki dosyaları okuyacak ve içerikle hiçbir şey yapmayacak."

"Bir teoriye göre bu, çok sayıda iyi huylu eylem gerçekleştirerek sandbox ve dinamik analiz çözümlerini karıştırmaya yönelik (zayıf) bir girişim olabilir ve bu da kötü niyetli olmayan bir sınıflandırmayla sonuçlanabilir."

Başka bir hipotez, kötü amaçlı yazılımın hedef ortama özgü bir eser aradığıdır, ancak Cado bu akıl yürütmeyi destekleyecek hiçbir kanıt bulamadığını söyledi.

Muir, "Migo, bulut odaklı saldırganların tekniklerini geliştirmeye ve web'e yönelik hizmetlerden yararlanma yeteneklerini geliştirmeye devam ettiğini gösteriyor" dedi.

"Libprocesshider, cryptojacking kampanyaları tarafından sıklıkla kullanılsa da, bu özel varyant, kötü amaçlı işlemlerin kendilerine ek olarak diskteki yapıtları gizleme yeteneğini de içeriyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.