Recentemente è stata scoperta una sofisticata campagna malware denominata Migo, prendendo di mira strategicamente i server Redis per infiltrarsi negli host Linux per il mining di criptovaluta. Quest’ultima scoperta fa luce sulle tattiche in evoluzione dei criminali informatici nello sfruttamento dei servizi basati su cloud per scopi dannosi.
MigoMalware: Panoramica tecnica
Il malware Migo, identificato come binario Golang ELF, ha alcune funzionalità avanzate tra cui l'offuscamento in fase di compilazione e i meccanismi di persistenza, permettendogli di incorporarsi furtivamente nei sistemi Linux. Secondo Matt Muir, un ricercatore presso Cado Security, Migo impiega direttamente una serie di tecniche innovative di indebolimento del sistema prendere di mira i server Redis, facilitando così l'accesso non autorizzato e il successivo sfruttamento.
Il modus operandi della campagna Migo prevede la disabilitazione delle opzioni di configurazione critiche all'interno di Redis, come la modalità protetta e la replica di sola lettura, riducendo efficacemente le difese di sicurezza e aprendo la strada a futuri tentativi di sfruttamento. In aggiunta, gli autori delle minacce sfruttano Transfer.sh, un servizio di trasferimento file, per distribuire payload dannosi su sistemi compromessi, avviando così l'operazione di mining di criptovaluta.
Una delle caratteristiche distintive di Migo risiede nella sua capacità di stabilire persistenza ed eludere i meccanismi di rilevamento. Il malware non solo distribuisce un file XMRig installatore per criptovaluta mineraria ma impiega anche tattiche per disabilitare SELinux e nasconderne la presenza utilizzando una versione modificata del rootkit libprocesshider. Queste tattiche somigliano alle strategie impiegate da importanti gruppi di cryptojacking, evidenziando la raffinatezza del design di Migo.
Inoltre, Migo dimostra una propensione per le attività di ricognizione, scansione ricorsiva di file e directory in /etc, un comportamento ritenuto in grado di offuscare i suoi intenti dannosi e di ostacolare gli sforzi di analisi. Questa manovra sottolinea il panorama in evoluzione degli attacchi focalizzati sul cloud, man mano che i criminali informatici adattano e perfezionano le loro tecniche per eludere il rilevamento e massimizzare il loro impatto.
L’emergere di campioni di malware avanzati come Migo evidenzia l’importanza di forti misure di sicurezza informatica per l’infrastruttura basata su cloud.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: