A campanha, tendo começado em junho, já infetou milhares de máquinas. O código malicioso encontra-se alojado numa loja online chinesa comprometida, e os atacantes usam o Pastebin para hospedar o script de bash.
A nível de falhas para comprometer os sistemas:
ThinkPHP (CVE-2019-9082 e CVE-unassigned), Atlassian Confluence (CVE-2019-3396), e Drupalgeddon (CVE-2018-7600). É usada também a enumeração de chaves ssh. e de palavras-passe do Redis, e daí os atacantes tentam aceder a outras máquinas com as chaves de ssh encontradas.
Os ataques com vista às bases de dados do Redis são engendrados com um código que se tenta conetar à porta por defeito sem credenciais, e depois tenta usar diversas palavras-passe comuns. Aquando das tentativas de acesso às portas de ssh, o malware tenta enumerar quatro utilizadores e tenta depois cada um com sete palavras-passe.
Assim que o malware compromete um sistema, faz download de um script em bash do pastebin e procura diversos arquivos, um deles contendo o malware escrito em Go. Os ficheiros baixados serão depois guardados numa pasta escondida /tmp/.mysqli de forma a prevenir a sua remoção.
Um dos scripts extraídos tenta desabilitar diversos controlos de segurança no sistema infetado, sendo que a ameaça ganha persistência a partir da configuração de um cron em bash a cada 15 minutos. Este script configura o malware Go como um serviço e procura por outros processos que estejam a correr no diretório /tmp e manda-os abaixo.
Mais informações na página da equipa da F5 que descobriu a campanha: https://www.f5.com/labs/articles/threat-intelligence/new-golang-malware-is-spreading-via-multiple-exploits-to-mine-mo