Siber güvenlik araştırmacıları, halka açık erişilebilir REDIS sunucularını hedefleyen yeni bir Linux Cryptojing kampanyasına dikkat çekiyor.
Kötü niyetli etkinliğe kodlanmıştır Redisraider Datadog Güvenlik Laboratuarları tarafından.
Güvenlik araştırmacıları Matt Muir ve Frederic Baguelin, “Redisraider, IPv4 alanının randomize kısımlarını agresif bir şekilde tarar ve savunmasız sistemlerde kötü niyetli cron işlerini yürütmek için meşru REDIS yapılandırma komutlarını kullanır.” Dedi.
Kampanyanın nihai amacı, bir XMRIG madencisini tehlikeye atılan sistemlerde serbest bırakmaktan sorumlu olan GO tabanlı bir birincil yük bırakmaktır.
Etkinlik, internette halka açık erişilebilir REDIS sunucularını tanımlamak ve daha sonra örneklerin bir Linux ana bilgisayarında çalışıp çalışmadığını belirlemek için bir bilgi komutu yayınlamak için ısmarlama bir tarayıcı kullanmayı gerektirir. Durum böyle bulunursa, tarama algoritması Redis’in bir cron işi enjekte etmek için SET komutunu kötüye kullanmaya devam eder.
Kötü amaçlı yazılım, Redis çalışma dizinini “/etc/cron.d” olarak değiştirmek için yapılandırma komutunu kullanır ve konuma “Apache” adlı bir veritabanı dosyası yazar, böylece CRON zamanlayıcı tarafından periyodik olarak seçilir ve daha sonra Redisraider Binary’yi uzak sunucudan indirir.
Yük esasen XMRIG’nin ısmarlama bir versiyonu için bir damlalık görevi görür ve ayrıca kötü amaçlı yazılımları diğer Redis örneklerine yayar, erişimini ve ölçeğini etkili bir şekilde genişletir.
Araştırmacılar, “Sunucu tarafı kriptajlamaya ek olarak, Redisraider’in altyapısı da çok yönlü bir gelir yaratma stratejisi sağlayan web tabanlı bir Monero madenci barındırdı.” Dedi.
“Kampanya, tespiti en aza indirmek ve analizi engellemek için kısa anahtar zamandan ölü (TTL) ayarları ve veritabanı yapılandırma değişiklikleri gibi ince anti-ormanlık önlemleri içeriyor.”
Açıklama, Guardz’ın Microsoft Entra ID’deki eski kimlik doğrulama protokollerini kaba kuvvet hesaplarına kullanan hedeflenen bir kampanyanın ayrıntılarını açıkladığı için ortaya çıkıyor. 18 Mart ve 7 Nisan 2025 arasında gözlenen etkinliğin, çok faktörlü kimlik doğrulama (MFA) ve koşullu erişim gibi savunmaları atlamak için BAV2ROPC’den (“Temel Kimlik Doğrulama Sürüm 2 – Kaynak Sahibi Şifre Kimlik Bilgisi” kısaltması) kullanılmıştır.
Guardz güvenlik araştırması başkanı Elli Shlomo, “İzleme ve araştırma, BAV2ROPC’nin çağdaş güvenlik mimarilerini önceden belirleyen doğal tasarım sınırlamalarını kullanan sistematik sömürü girişimlerini ortaya çıkardı.” Dedi. Diyerek şöyle devam etti: “Bu kampanyanın arkasındaki tehdit aktörleri, kimlik sistemlerinin derin bir anlaşılmasını gösterdi.”
Saldırıların esas olarak Doğu Avrupa ve Asya-Pasifik bölgelerinden kaynaklandığı ve öncelikle eski kimlik doğrulama uç noktalarını kullanarak yönetici hesaplarını hedef aldığı söyleniyor.
Şirket, “Normal kullanıcılar kimlik doğrulama denemelerinin büyük bir kısmını (50.214) alırken, yönetici hesapları ve paylaşılan posta kutuları belirli bir modelde hedeflendi, yönetici hesapları 432 IP’de 8 saat boyunca 9.847 deneme aldı ve IP başına ortalama 22.79 deneme ve saatte 1.230.87 deneme hızını gösteriyor.” Dedi.
“Bu, normal kullanıcılara karşı daha geniş bir saldırı yüzeyini sürdürürken ayrıcalıklı hesapları tehlikeye atmak için özel olarak tasarlanmış oldukça otomatik ve konsantre bir saldırı kampanyasını gösteriyor.”
Bu, eski protokoller kötü niyetli faaliyetler için ilk kez istismar edilmemiştir. 2021’de Microsoft, MFA’yı atlatmak ve e-posta verilerini dışarı attırmak için BAV2ROPC ve IMAP/POP3 kullanan büyük ölçekli bir işletme e-posta uzlaşma (BEC) kampanyasını açıkladı.
Bu tür saldırıların ortaya koyduğu riskleri azaltmak için, koşullu erişim politikası aracılığıyla eski kimlik doğrulamasını engellemeniz, BAV2ROPC’yi devre dışı bırakmanız ve kullanılmadığı takdirde çevrimiçi olarak SMTP Auth’u kapatmanız önerilir.