Une campagne de malware sophistiquée baptisée Migo a été récemment découverte, cibler stratégiquement les serveurs Redis pour infiltrer les hôtes Linux pour l'extraction de crypto-monnaie. Cette dernière découverte met en lumière l'évolution des tactiques des cybercriminels qui exploitent les services basés sur le cloud à des fins malveillantes..
Logiciel malveillant Migo: Présentation technique
Le malware Migo, identifié comme un binaire Golang ELF, possède des fonctionnalités avancées, notamment des mécanismes d'obscurcissement et de persistance au moment de la compilation, lui permettant de s'intégrer furtivement dans les systèmes Linux. D'après Matt Muir, un chercheur chez Cado Security, Migo utilise directement une série de techniques innovantes d'affaiblissement du système cibler les serveurs Redis, facilitant ainsi l'accès non autorisé et l'exploitation ultérieure.
Le modus operandi de la campagne Migo implique la désactivation des options de configuration critiques au sein de Redis, tels que le mode protégé et la réplique en lecture seule, réduire efficacement les défenses de sécurité et ouvrir la voie à de futurs efforts d’exploitation. En outre, les acteurs de la menace exploitent Transfer.sh, un service de transfert de fichiers, pour déployer des charges utiles malveillantes sur des systèmes compromis, lançant ainsi l'opération de minage de crypto-monnaie.
L'une des caractéristiques distinctives de Migo réside dans sa capacité à établir des mécanismes de persistance et à échapper aux mécanismes de détection.. Le malware déploie non seulement un XMRig installateur pour l'exploitation minière de crypto-monnaie mais emploie également des tactiques pour désactiver SELinux et dissimuler sa présence en utilisant une version modifiée du rootkit libprocesshider. Ces tactiques ressemblent aux stratégies employées par d’éminents groupes de cryptojacking, soulignant la sophistication du design de Migo.
En outre, Migo démontre une propension aux activités de reconnaissance, analyse récursive des fichiers et des répertoires sous /etc, un comportement censé masquer son intention malveillante et contrecarrer les efforts d'analyse. Cette manœuvre souligne l’évolution du paysage des attaques axées sur le cloud, alors que les cybercriminels adaptent et affinent leurs techniques pour échapper à la détection et maximiser leur impact.
L'émergence d'échantillons de logiciels malveillants avancés comme Migo souligne l'importance de mesures de cybersécurité strictes pour l'infrastructure basée sur le cloud..
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: