Các dịch vụ Redis tồn tại lỗ hổng đang bị nhắm mục tiêu bởi một biến thể ‘mới, cải tiến và nguy hiểm’ của mã độc SkidMap. Biến thể này nhắm mục tiêu vào nhiều bản phân phối Linux như Alibaba, Anolis, openEuler, EulerOS, Stream, CentOS, RedHat và Rocky.
SkidMap lần đầu được Trend Micro tiết lộ vào tháng 9/2019 dưới dạng botnet khai thác tiền điện tử với khả năng tải các mô-đun kernel độc hại có thể làm xáo trộn các hoạt động cũng như giám sát quá trình khai thác tiền điện tử.
Chuỗi tấn công mới nhất được Trustwave ghi lại, hacker xâm nhập các phiên bản máy chủ Redis bảo mật kém để triển khai dropper shell phân phối tệp nhị phân ELF giả dạng file hình ảnh GIF.
Sau đó, tệp nhị phân tiến hành thêm các khóa SSH vào tệp “/root/.ssh/authoried_keys”, disable SELinux, thiết lập một reverse shell ping máy chủ do hacker kiểm soát sau mỗi 60 phút. Tiếp đến tải xuống một gói tương thích (có tên gold, stream hoặc euler) dựa trên bản phân phối Linux và kernel được sử dụng.
Gói này đi kèm với một số tập lệnh shell để cài đặt các mô-đun kernel và thực hiện các bước để che dấu vết bằng cách xóa nhật ký và khởi chạy một thành phần botnet có khả năng truy xuất các payload rootkit bổ sung.
Nguồn: The Hacker News