TA-NATALSTATUS: криптоджекинг через неправильные настройки Redis

Хакерская группировка TA-NATALSTATUS с 2020 года ведёт целенаправленные кампании по криптоджекингу, с заметной эскалацией в 2025 году. Их модель атак демонстрирует переход от разрозненных злоумышленников к более организованным и технологически продвинутым операциям, где ключевой упор делается не на эксплойты, а на эксплуатацию неправильных настроек серверного ПО.

Кого и как они атакуют

Основная мишень группы — публично доступные и неправильно сконфигурированные серверы Redis, часто запущенные от имени root. География атак охватывает США, Европу, Россию и Индию. Вектор прост: обнаружить машинку с открытым порт 6379 и воспользоваться дефолтными или небезопасными настройками, позволяющими выполнять законные команды Redis для достижения вредоносных целей.

Особенности тактики и техники

• TA-NATALSTATUS искусственно отходит от традиционных эксплойтов и целится в ошибки администрирования и unsafe defaults.
• Используются легитимные команды Redis, такие как CONFIG SET и SAVE, чтобы записывать и запускать вредоносные payload’ы и создавать задания cron.
• Для первичного сканирования применяются инструменты типа masscan, позволяющие быстро находить открытые Redis-инстансы.
• Акторы прибегают к технике «ps hijack», переименовывая легитимные двоичные файлы, чтобы скрыть присутствие майнеров от администраторов и систем мониторинга.

Четырёхэтапный жизненный цикл атак

Операции TA-NATALSTATUS организованы в структурированный, последовательный цикл, ориентированный на скрытность и доминирование над ресурсами заражённых машин:

• Этап 1 — первоначальный доступ: массовое сканирование (masscan) и использование неправильных настроек Redis для получения доступа и прав root.
• Этап 2 — укрепление контроля: отключение защит (например, SELinux), манипуляции правилами брандмауэра и переименование системных бинарников (ps hijack) для затруднения обнаружения.
• Этап 3 — распространение: загрузка и локальная компиляция сканеров и других утилит на скомпрометированном хосте, превращая каждую заражённую машину в узел botnet, предназначенный для поиска следующих целей.
• Этап 4 — закрепление и защита имущества: механизмы обновления, переустанавливающие вредоносное ПО при необходимости; присвоение системных атрибутов ключевым файлам, чтобы даже привилегированные пользователи не могли их изменить; создание и поддержание вредоносных заданий cron.

Агрессивная конкуренция и «список уничтожения»

Группа применяет подход «списка уничтожения» для устранения конкурирующих майнеров из скомпрометированных систем, гарантируя, что ресурсы будут выделены исключительно для их операций.

Это означает, что TA-NATALSTATUS не ограничиваются установкой своего майнера: они активно ищут и удаляют другие криптомайнеры, тем самым усиливая контроль над ресурсами и уменьшая вероятность конкуренции за вычислительную мощность.

Почему удаление затруднено

Комбинация приемов делает вывод вредоносного ПО сложным:

• сохранение persistence через cron и собственные механизмы обновления;
• использование системных атрибутов, препятствующих изменению файлов даже для привилегированных пользователей;
• маскировка процессов и переименование бинарей (ps hijack), затрудняющие ручной аудит;
• отключение защитных механизмов (SELinux) и правок сетевых фильтров, которые препятствуют расследованию и реагированию.

Индикаторы компрометации (IoC) и на что обратить внимание

• Неожиданные или нестандартные задания в crontab — строки, запускающие майнеры или скрипты, отсылающие трафик на внешние хосты.
• Наличие файлов или бинарей с нестандартными именами или с системными атрибутами, препятствующими удалению.
• Изменения настроек SELinux и правил брандмауэра без авторизации администратором.
• Активность инструментов сканирования, скомпилированных локально (наличие исходников/компиляционных утилит в /tmp или /var/tmp).
• Запросы на порт 6379 от неожиданных источников и аномальные команды Redis: использование CONFIG SET, SAVE с необычными значениями.

Рекомендации по защите

• Не экспонируйте Redis в публичный интернет. При необходимости использовать VPN или прокси, привязывать Redis к локальному интерфейсу.
• Запускать Redis от непривилегированного пользователя, а не от root.
• Отключать или ограничивать команды CONFIG и другие опасные возможности через конфигурацию или ACL, использовать requirepass/аутентификацию.
• Мониторить и реагировать на изменение crontab, неожиданные системные атрибуты и переименование бинарей.
• Контролировать и фильтровать входящие подключения на порт 6379 на уровне firewall, блокировать массовые сканирования.
• Поддерживать актуальность систем и средств обнаружения, использовать целевые аудиты конфигураций Redis.

Вывод

TA-NATALSTATUS демонстрирует, как эксплуатация человеческих ошибок и дефолтных конфигураций может дать гораздо больший эффект, чем использование сложных эксплойтов. Их модель — централизованная, масштабируемая и устойчиво защищённая благодаря сочетанию легитимных команд, локальной компиляции инструментов и механизмов persistence. Для организаций это очередное напоминание: безопасность — это не только исправление уязвимостей, но и корректная конфигурация сервисов, отказ от небезопасных дефолтов и постоянный мониторинг.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.