Allarme SkidMap, malware minaccia i servizi Redis: cosa succede?

Non c’è pace per i servizi Redis: dopo gli attacchi degli scorsi mesi, questa volta è il turno di una versione migliorata e più pericolosa di SkidMap, un malware progettato per colpire l’ambiente Linux.

Secondo Radoslaw Zdonczyk, ricercatore di sicurezza di Trustwave “La natura dannosa di questo malware lo porta ad adattarsi al sistema su cui viene eseguito“. L’agente malevolo in questione è già noto da tempo agli esperti del settore, essendo attivo dal 2019, anno in cui è stato individuato da Trend Micro.

Questo botnet di mining, infatti, sembra essere molto efficace su diverse distro Linux come Alibaba, Anolis, openEuler, EulerOS, Stream, CentOS, RedHat e Rocky.

Riguardo SkidMap, nel corso del febbraio 2021, Akami osservava come “La tecnica di recupero dei dati in tempo reale da un’origine dati decentralizzata ed essenzialmente non censurabile per generare un indirizzo IP C2 rende l’infezione difficile da eliminare e rende semplice e veloce la rotazione dell’indirizzo IP C2“.

SkidMap, il malware Linux si focalizza sui servizi Redis

Dopo due anni, a quanto pare, SkidMap è tornato a fare paura. Nei recenti casi documentati da Trustwave, il malware è stato utilizzato per attaccare alcune istanze dei server Redis vulnerabili, attraverso la distribuzione di uno script progettato per distribuire un binario ELF, offuscato come un finto file GIF.

Il file binario procede quindi ad aggiungere chiavi SSH al file “/root/.ssh/authoried_keys“, disabilitando SELinux e stabilendo una shell inversa che esegue il ping di un server controllato dai cybercriminali ogni 60 minuti. Iinfine scarica un pacchetto appropriato in base alla distribuzione Linux e al kernel utilizzato.

A rendere tutto molto difficile è la difficoltà di rilevamento dell’agente malevolo e delle sue azioni “Il livello di avanzamento di questo malware è davvero alto e rilevarlo, specialmente in infrastrutture di server più grandi, può essere molto difficile” ha affermato Zdonczyk. Lo stesso ha infine aggiunto come “Durante il test sui computer di casa, l’unico indicatore serio che qualcosa non funziona è il funzionamento eccessivo delle ventole e, nel caso dei laptop, la temperatura del case“.