Se ha detectado una reciente estrategia de malware dirigida específicamente a los servidores Redis, con el propósito inicial de obtener acceso y llevar a cabo actividades de minería de criptomonedas en sistemas Linux comprometidos.

Matt Muir, investigador de Cado sostiene que:

Esta campaña en particular emplea una variedad de métodos innovadores para debilitar el sistema y atacar directamente la base de datos.

El ataque de cryptojacking es facilitado por Migo Malware (binario ELF de Golang, equipado con ofuscación en tiempo de compilación) que cuenta con la capacidad de persistir en máquinas Linux.

Esta campaña fue descubierta por CodeSecurity, tras haberse detectado una secuencia de comandos dirigida a sus honeypots de Redis. Estos comandos están diseñados para disminuir la seguridad al desactivar las siguiente opciones de configuración (podrían permitir el envío de comandos adicionales al servidor Redis desde redes externas): protected-mode, replica-read-only, aof-rewrite-incremental-fsync, rdb-save-incremental-fsync.

Los actores de amenazas utilizan dos claves Redis: una conectada a una clave SSH controlada por el atacante y otra a una tarea cron que descarga la carga útil maliciosa desde Transfer.sh (una técnica detectada en 2023).

El script de shell para obtener el malware Migo se encuentra en un archivo de Pastebin y se adquiere mediante curl o wget.

El binario ELF, diseñado en Go, actúa como un descargador para XMRig desde GitHub, establece la persistencia, elimina mineros rivales y ejecuta el minero. Además, desactiva SELinux, busca scripts de desinstalación para monitorear agentes en instancias de proveedores de nube, e implementa una versión modificada de libprocesshider para ocultar procesos y archivos.

Estas acciones reflejan tácticas de grupos reconocidos de cryptojacking, como TeamTNT, WatchDog, Rocke, y ciberdelincuentes vinculados a SkidMap.

Fuente:

New Migo Malware Targeting Redis Servers for Cryptocurrency Mining

Migo – a Redis Miner with Novel System Weakening Techniques – Cado Security