Odborníci na kybernetickou bezpečnost upozorňují na novou kampaň zaměřenou na těžbu kryptoměn v prostředí Linuxu, která cílí na veřejně dostupné instance databáze Redis. Tuto škodlivou aktivitu pojmenovali experti ze společnosti Datadog Security Labs jako RedisRaider.
„RedisRaider agresivně prohledává náhodné části IPv4 prostoru a využívá legitimní konfigurační příkazy Redis k nasazení škodlivých cron úloh na zranitelných systémech,“ uvedli bezpečnostní analytici Matt Muir a Frederic Baguelin.
Hlavním cílem kampaně je nasadit hlavní škodlivý kód napsaný v jazyce Go, který na kompromitovaných systémech spouští software XMRig určený k těžbě kryptoměny Monero.
Útok začíná použitím specializovaného skeneru, který identifikuje veřejně přístupné servery Redis. Následně je odeslán příkaz INFO k ověření, zda Redis běží na systému Linux. Pokud ano, malware zneužije příkaz SET ke vložení cron úlohy.
Poté využívá příkaz CONFIG ke změně pracovního adresáře služby Redis na /etc/cron.d a zapíše do něj soubor s názvem apache. Tento soubor je následně pravidelně spouštěn systémovým plánovačem cron. Cron úloha spouští shell skript zakódovaný v Base64, který stáhne binární soubor RedisRaider z externího serveru.
Tento binární soubor slouží jako tzv. dropper – nástroj pro stažení a spuštění vlastního mineru XMRig – a zároveň se šíří do dalších zranitelných instancí Redis, čímž rozšiřuje škálu a dopad kampaně.
„Kromě nasazení XMRig na kompromitovaných serverech využívá infrastruktura RedisRaider také webový miner pro Monero, což autorům umožňuje vícekanálovou strategii generování zisku,“ uvádí experti.
Kampaň navíc obsahuje prvky proti forenzní analýze – například velmi krátké doby platnosti klíčů (TTL) a změny v konfiguraci databáze – které ztěžují detekci a následnou analýzu incidentu.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
Zdroj: ICT NETWORK NEWS