Les services Redis vulnérables ont été ciblés par une variante « nouvelle, améliorée et dangereuse » d’un malware appelé SkidMap, conçu pour cibler un large éventail de distributions Linux.
« La nature malveillante de ce malware est de s’adapter au système sur lequel il est exécuté », a déclaré Radoslaw Zdonczyk, chercheur en sécurité chez Trustwave, dans une analyse publiée la semaine dernière.
Certaines des distributions Linux sur lesquelles SkidMap a les yeux fixés incluent Alibaba, Anolis, openEuler, EulerOS, Stream, CentOS, RedHat et Rocky.
SkidMap a été divulgué pour la première fois par Trend Micro en septembre 2019 en tant que botnet minier de crypto-monnaie avec des capacités pour charger des modules de noyau malveillants qui peuvent obscurcir ses activités ainsi que surveiller le processus de minage.
Les opérateurs du malware ont également été trouvés en train de camoufler leur adresse IP de sauvegarde de commande et de contrôle (C2) sur la blockchain Bitcoin, évoquant un autre malware botnet connu sous le nom de Glupteba.
« La technique consistant à récupérer des données en temps réel à partir d’une source de données décentralisée et essentiellement non censurable pour générer une adresse IP C2 rend l’infection difficile à supprimer et rend le pivotement de l’adresse IP C2 simple et rapide », a noté Akamai en février 2021.
La dernière chaîne d’attaque documentée par Trustwave consiste à violer des instances de serveur Redis mal sécurisées pour déployer un script shell dropper conçu pour distribuer un binaire ELF qui se fait passer pour un fichier image GIF.
Le binaire procède ensuite à l’ajout de clés SSH au fichier « /root/.ssh/authoried_keys », désactive SELinux, établit un shell inversé qui envoie un ping à un serveur contrôlé par un acteur toutes les 60 minutes, et finalement télécharge un package approprié (nommé gold, stream , ou euler) en fonction de la distribution Linux et du noyau utilisé.
Le package, pour sa part, est livré avec plusieurs scripts shell pour installer les modules du noyau et prendre des mesures pour dissimuler les traces en purgeant les journaux, et lancer un composant botnet capable de récupérer des charges utiles rootkit supplémentaires : mcpuinfo.ko, pour masquer le processus de mineur , et kmeminfo.ko, pour analyser, modifier ou supprimer des paquets réseau.
Le binaire du mineur lui-même est également téléchargé, bien que dans certaines variantes, un « mineur intégré à partir d’un fichier binaire ‘GIF’ extrait » soit utilisé.
« Le niveau d’avancement de ce malware est vraiment élevé, et le détecter, en particulier dans les grandes infrastructures de serveurs, peut être très difficile », a déclaré Zdonczyk. « Lors du test sur des ordinateurs personnels, le seul indicateur sérieux que quelque chose n’allait pas était le fonctionnement excessif des ventilateurs et, dans le cas des ordinateurs portables, la température du boîtier. »
