セキュリティ研究者らは、人気のデータストアシステムであるRedisを標的とした高度なマルウェアキャンペーンを発見しました。「Migo」と名付けられたこのキャンペーンは、Redisサーバーを侵害するための新たな手口を用い、最終的にはLinuxホスト上で暗号資産をマイニングすることを目的としています。
特にCado Security Labsの研究者は、Migoが新しいRedisのシステム弱体化コマンドを利用して、クリプトジャッキング目的でデータストアを悪用していることを確認しました。Redisを標的とした従来の攻撃とは異なり、このキャンペーンはシステムのセキュリティを侵害するための独自の手法を導入しています。
本日早くに公開されたアドバイザリによると、MigoはGolangのELFバイナリとして配布され、コンパイル時の難読化とLinuxホスト上での永続化機能を備えています。さらに、このマルウェアはプロセスやディスク上の痕跡を隠すために、人気のユーザーモードルートキットの改変版を組み込んでいます。
攻撃の初期アクセス段階では、特定のCLIコマンドを使用してRedisの各種設定オプションを無効化します。例えば攻撃者は、保護モードやreplica-read-onlyといった機能をオフにし、悪意ある活動を行いやすくします。
アクセス獲得後、攻撃者はTransfer.shやPastebinなどの外部ソースから取得した悪性ペイロードを実行するための一連のコマンドを設定します。これらのペイロードは、検知を回避しつつバックグラウンドで暗号資産をマイニングするよう設計されています。
前述のとおり、Migoの注目すべき点の一つは、重要なシンボルや文字列を隠すためにコンパイル時の難読化を用いており、リバースエンジニアリングを困難にしていることです。さらに、このマルウェアはユーザーモードルートキットを使用してプロセスとディスク上の痕跡の両方を隠蔽し、セキュリティアナリストが脅威を検知して緩和することを難しくしています。
ルートキット型マルウェアについて詳しく読む:新たなSyslogk Linuxカーネル・ルートキット、「マジックパケット」でリモートバックドアアクセスをトリガー
このキャンペーンの永続化メカニズムでは、systemdのサービスおよびタイマーユニットを使用して、マルウェアの継続的な実行を確実にします。さらにMigoは、クラウドプロバイダーに関連するドメインへの外向き通信をブロックするためにシステムのhostsファイルを改変し、検知回避を試みます。
「Migoは、クラウドを狙う攻撃者が手口を継続的に洗練させ、Webに公開されたサービスを悪用する能力を高めていることを示しています」 とCado Securityは記しています。「加えて、ユーザーモードルートキットの使用により、Migoに侵害されたホストのインシデント後フォレンジックが複雑化する可能性があります。」
翻訳元: https://www.infosecurity-magazine.com/news/linux-malware-migo-targets-redis/
