Nuevo Malware Migo desactiva las Funciones de Protección en los Servidores Redis

Los investigadores de seguridad descubrieron una nueva campaña dirigida a servidores Redis en hosts Linux utilizando un malware llamado ‘Migo’ para extraer criptomonedas.

Redis (Remote Dictionary Server) es un almacén de estructura de datos en memoria que se utiliza como base de datos, caché y intermediario de mensajes conocido por su alto rendimiento, que atiende miles de solicitudes por segundo para aplicaciones en tiempo real en industrias como juegos, tecnología y servicios financieros. y atención sanitaria.

Los piratas informáticos siempre buscan servidores Redis expuestos y potencialmente vulnerables para secuestrar recursos, robar datos y otros fines maliciosos.

Lo interesante de la nueva cepa de malware es el uso de comandos que debilitan el sistema y que desactivan las funciones de seguridad de Redis, lo que permite que las actividades de criptojacking continúen durante períodos prolongados.

La campaña Migo fue detectada por analistas del proveedor forense de nube Cado Security, quienes observaron en sus honeypots que los atacantes usaban comandos CLI para desactivar configuraciones protectoras y explotar el servidor.

Desactivar los Escudos de Redis

Al comprometer los servidores Redis expuestos, los atacantes desactivan funciones de seguridad críticas para permitir recibir comandos posteriores y hacer réplicas escribibles.

Cado dice que notaron que los atacantes desactivaban las siguientes opciones de configuración a través de la CLI de Redis.

  • Establecer modo protegido: desactivar esto permite el acceso externo al servidor Redis, lo que facilita que un atacante ejecute comandos maliciosos de forma remota.
  • réplica de solo lectura : desactivar esta opción permite a los atacantes escribir directamente en réplicas y difundir cargas útiles maliciosas o modificaciones de datos en una configuración distribuida de Redis.
  • aof-rewrite-incremental-fsync: deshabilitarlo puede provocar una mayor carga de IO durante las reescrituras de archivos de solo adición (AOF), lo que podría ayudar a los atacantes a permanecer sin ser detectados al distraer a las herramientas de detección con patrones de IO inusuales.
  • rdb-save-incremental-fsync: desactivarlo puede provocar una degradación del rendimiento durante el guardado de instantáneas de RDB, lo que potencialmente permite a los atacantes provocar una denegación de servicio (DoS) o manipular el comportamiento de persistencia en su beneficio.

Luego, los atacantes configuraron un trabajo cron que descarga un script de Pastebin, que recupera la carga principal de Migo (/tmp/.migo) de Transfer.sh para ejecutarla como una tarea en segundo plano.

Este es un binario ELD empaquetado en UPX compilado en Go, que presenta ofuscación en tiempo de compilación para dificultar el análisis.

Cado dice que la función principal de Migo es buscar, instalar y ejecutar un minero XMRig (Monero) modificado en el punto final comprometido directamente desde la CDN de GitHub.

El malware establece persistencia para el minero mediante la creación de un servicio systemd y el temporizador asociado, asegurando que se ejecute continuamente, extrayendo criptomonedas en la cuenta del atacante.

Cado informa que Migo emplea un rootkit en modo de usuario para ocultar sus procesos y archivos, lo que complica la detección y eliminación.

El malware modifica ‘/etc/ld.so.preload’ para interceptar y alterar el comportamiento de las herramientas del sistema que enumeran procesos y archivos, ocultando efectivamente su presencia.

El ataque concluye con Migo configurando reglas de firewall para bloquear el tráfico saliente a ciertas IP y ejecutando comandos para deshabilitar SELinux, buscar y potencialmente deshabilitar agentes de monitoreo de proveedores de nube y eliminar mineros o cargas útiles de la competencia.

También manipula /etc/hosts para impedir la comunicación con los proveedores de servicios en la nube, ocultando aún más su actividad.

La cadena de ataque de Migo muestra que el actor de amenazas detrás de ella tiene un sólido conocimiento del entorno y las operaciones de Redis.

Aunque la amenaza de criptojacking no es demasiado grave porque no provoca interrupciones ni corrupción de datos, el actor de la amenaza podría utilizar el acceso para entregar cargas útiles más peligrosas.

Relacionado

Zoom corrige Falla Crítica de Elevación de Privilegios en Aplicaciones de Windows

Los clientes VDI y de escritorio de Zoom y el SDK de Meeting para Windows son vulnerables a una falla de validación de entrada incorrecta que podría permitir que un atacante no autenticado lleve a cabo una escalada de privilegios en el sistema de destino a través de la red. Zoom es un popular servicio de videoconferencia basado en la nube para reuniones corporativas, lecciones educativas, ¡SEGUIR LEYENDO!

WordPress: Graves Errores Detectados en el Complemento Ninja Forms, 1 millón de sitios afectados

Las vulnerabilidades detectadas en el complemento Ninja Forms para WordPress, instalado en más de un millón de sitios, pueden conducir a un asalto completo del sitio si no se repara antes de un posible ataque. Wordfence detectó un total de cuatro vulnerabilidades en el complemento de WordPress Ninja Forms que podrían permitir a los atacantes: Redirigir a los administradores del sitio a ubicaciones aleatorias. Instalar un ¡SEGUIR LEYENDO!

White Phoenix un Nuevo Descifrador de Ransomware Online

CyberArk ha dado un paso significativo en la lucha contra el ransomware al lanzar una versión en línea de 'White Phoenix', un descifrador de ransomware de código abierto diseñado para combatir operaciones que utilizan encriptación intermitente. A pesar de que la herramienta está disponible de forma gratuita en GitHub como un proyecto en Python, CyberArk reconoció la necesidad de una versión en línea para atender a ¡SEGUIR LEYENDO!

VMware insta a los Administradores a eliminar este Complemento de Autenticación

VMware instó hoy a los administradores a eliminar un complemento de autenticación descontinuado expuesto a ataques de retransmisión de autenticación y secuestro de sesión en entornos de dominio de Windows a través de dos vulnerabilidades de seguridad que no se han parcheado. El vulnerable complemento de autenticación mejorada (EAP) de VMware permite un inicio de sesión fluido en las interfaces de administración de vSphere a través ¡SEGUIR LEYENDO!

Subdominios Secuestrados de Marcas Importantes utilizados en Campaña Masiva de Spam

Una campaña masiva de fraude publicitario llamada "SubdoMailing" utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa. La campaña se llama "SubdoMailing", ya que los actores de amenazas secuestran subdominios abandonados y dominios que pertenecen a empresas conocidas para enviar sus correos electrónicos maliciosos. ¡SEGUIR LEYENDO!