Ein neuartiger Malware-Angriff hat sich darauf spezialisiert, Redis-Server anzugreifen, um Zugriff auf Linux-Hosts zu erlangen und anschließend Kryptowährungen abzubauen. Das Unternehmen Cado Security hat diesen Angriff entdeckt, bei dem die Malware namens Migo verwendet wird, um über verschiedene Techniken das Sicherheitssystem der Datenbank zu schwächen und letztendlich Kryptowährung abzubauen.
Die Malware Migo ist ein Golang ELF-Binärprogramm, das mit Kompilierungszeit-Verschleierung ausgestattet ist und auf Linux-Maschinen anhaltend sein kann. Die Kampagne wurde entdeckt, als ungewöhnliche Befehle auf Redis Honeypots abgefeuert wurden, um die Sicherheitsvorkehrungen der Datenbank zu umgehen. Dazu wurden Konfigurationsoptionen wie protected-mode ausgeschaltet, um zukünftige Exploits ohne große Aufmerksamkeit zu ermöglichen.
Die Angreifer haben anschließend zwei Redis-Keys eingerichtet, einen der auf einen SSH-Key und einen anderen auf ein Cron-Job verweist, der das schädliche Payload von einem Dateiübertragungsdienst namens Transfer.sh abruft. Die Malware Migo setzt auch Maßnahmen zur Persistenzumsetzung ein und sucht nach Deinstallationsskripten für Überwachungsagenten, die von Cloud-Providern wie Qcloud und Alibaba Cloud bereitgestellt werden.
Migo verwendet außerdem eine modifizierte Version des Rootkits libprocesshider, um Prozesse und on-disk-Artefakte zu verbergen. Es identifiziert auch und deaktiviert das Security-Enhanced Linux (SELinux) sowie eliminiert Konkurrenz-Miner und startet den Krypto-Miner.
Die Malware verhält sich interessanterweise in Bezug auf das Durchsuchen von Dateien und Verzeichnissen unter /etc auffällig, ohne jedoch etwas mit den Inhalten zu machen. Dies könnte möglicherweise eine Strategie sein, um Sandboxes und dynamische Analyselösungen zu verwirren. Migo zeigt auf, dass Angreifer weiterhin ihre Techniken zur Ausnutzung webbasierten Dienste verfeinern und verbessern.