Търсене
Close this search box.

Новият SkidMap за Linux е насочен към уязвими сървъри на Redis

Уязвимите услуги на Redis са били обект на „нов, подобрен и опасен“ вариант на зловреден софтуер, наречен SkidMap, който е разработен така, че да е насочен към широк кръг дистрибуции на Linux.

„Природата на този зловреден софтуер е да се адаптира към системата, на която се изпълнява“, казва изследователят по сигурността на Trustwave Радослав Здончик в анализ, публикуван миналата седмица.

Някои от дистрибуциите на Linux, към които SkidMap насочва погледа си, включват Alibaba, Anolis, openEuler, EulerOS, Stream, CentOS, RedHat и Rocky.

SkidMap беше разкрит за първи път от Trend Micro през септември 2019 г. като ботнет за добив на криптовалута с възможности за зареждане на злонамерени модули на ядрото, които могат да замаскират дейностите му, както и да наблюдават процеса на добив.
Установено е също така, че операторите на зловредния софтуер маскират своя резервен IP адрес за управление и контрол (C2) в блокчейна на Биткойн, което напомня за друг зловреден софтуер за ботнет, известен като Glupteba.

„Техниката на извличане на данни в реално време от децентрализиран и по същество нецензурируем източник на данни за генериране на C2 IP адрес прави инфекцията трудна за сваляне и прави завъртането на C2 IP адреса лесно и бързо“, отбеляза Akamai през февруари 2021 г.

Най-новата верига от атаки, документирана от Trustwave, включва пробив на слабо защитени сървърни инстанции на Redis, за да се разгърне дропър шел скрипт, който е предназначен да разпространява ELF двоичен файл, който се маскира като файл с GIF изображение.

След това двоичният файл добавя SSH ключове към файла „/root/.ssh/authoried_keys“, деактивира SELinux, създава обратна обвивка, която пингва контролиран от извършителя сървър на всеки 60 минути, и накрая изтегля подходящ пакет (с име gold, stream или euler) в зависимост от дистрибуцията на Linux и използваното ядро.
Пакетът, от своя страна, се предлага с няколко шел скрипта за инсталиране на модулите на ядрото и предприемане на стъпки за прикриване на следите чрез изчистване на логовете и стартиране на компонент на ботнет, способен да извлича допълнителни руткит товари: mcpuinfo.ko, за скриване на процеса на миньор, и kmeminfo.ko, за анализиране, модифициране или изпускане на мрежови пакети.

Изтеглен е и самият двоичен файл на миньора, въпреки че в някои варианти се използва „вграден миньор от извлечен двоичен файл ‘GIF'“.

„Нивото на развитие на този зловреден софтуер е наистина високо и откриването му, особено в по-големи сървърни инфраструктури, може да бъде много трудно“, казва Здончик. „Когато го тествахме на домашни компютри, единственият сериозен индикатор, че нещо не е наред, беше прекомерната работа на вентилаторите, а в случая на лаптопите – температурата на корпуса.“

 

Източник: The Hacker News

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
Бъдете социални
Още по темата
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
16/04/2024

UnitedHealth Group отчете 8...

UnitedHealth Group отчете 872 млн. щатски...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!