08/08/23
Киберпреступники активизировали атаки с использованием усовершенствованной версии вредоносной программы SkidMap, нацеленной на эксплуатацию уязвимостей в серверах баз данных Redis под управлением Linux. Об этом в своём недавнем отчёте сообщили эксперты по кибербезопасности компании Trustwave, передает Securitylab.
Новый SkidMap адаптируется к системе жертвы и может заражать широкий спектр дистрибутивов Linux, включая Alibaba, Anolis, OpenEuler, EulerOS, Stream, CentOS, RedHat и Rocky. Злоумышленники используют уязвимости в настройках Redis для запуска вредоносного скрипта, маскирующегося под простой GIF-файл.
Скрипт добавляет SSH-ключи для удалённого доступа, отключает защиту SELinux и устанавливает обратную связь с сервером злоумышленников. Далее, в зависимости от дистрибутива, устанавливается один из пакетов («gold», «stream» или «euler»), который запускает модули ядра для сокрытия следов атаки, мониторинга процесса майнинга и перехвата сетевых пакетов.
SkidMap впервые был обнаружен специалистами Trend Micro ещё в 2019 году. С тех пор в SkidMap был реализован целый комплекс мер по сокрытию следов вторжения и затруднению обнаружения. Злоумышленники могут динамически менять IP-адреса управляющих серверов, что затрудняет их блокировку.
«Уровень продвинутости этого вредоноса очень высок, и обнаружить его, особенно в крупных серверных инфраструктурах, может быть очень сложно», — отмечает Радослав Здончик, специалист Trustwave. По его словам, единственным серьёзным признаком заражения может быть чрезмерная работа кулеров и перегрев корпуса инфицированных устройств.
Эксперты рекомендуют администраторам Linux-систем уделять особое внимание настройкам безопасности Redis и регулярно устанавливать доступные обновления. Также крайне важно проводить плановые аудиты безопасности и использовать средства мониторинга для выявления признаков несанкционированной активности и отклонений в работе систем.
Только проактивный подход к обеспечению безопасности позволит минимизировать риски, связанные с новыми угрозами вроде SkidMap.
