Güvenlik savunmalarını sistematik olarak sökerken, kripto para madencilerini dağıtmak için birden fazla kıtada yanlış yapılandırılmış REDIS sunucularını kullanan sofistike bir kriptaj kampanyası ortaya çıktı.
Bu operasyonun arkasındaki tehdit oyuncusu, Ta-Natalstatus olarak adlandırılan, 2020’den beri aktiftir, ancak 2025 yılı boyunca faaliyetlerini önemli ölçüde artırmış ve maruz kalan Redis örneklerini büyük ekonomilerde endişe verici başarı oranları ile hedeflemektedir.
Kampanya, enfeksiyon oranlarının etkilenen bölgelerde endişe verici seviyelere ulaşmasıyla eşi görülmemiş ölçek ve teknik sofistike olduğunu göstermektedir.
Finlandiya’da Redis sunucularının% 41’i tehlikeye girerken Rusya% 39 enfeksiyon oranları gösteriyor. Almanya% 33 uzlaşma oranı ile karşı karşıya, Birleşik Krallık% 27, Fransa% 23 ile ve ABD REDIS sunucularının% 17’sini etkilediğini bildirdi.
.webp)
Coğrafi dağıtım, 140.000’den fazla maruz kalan REDIS örneğine ev sahipliği yapan Çin de dahil olmak üzere Asya-Pasifik bölgelerinden Avrupa ve Kuzey Amerika altyapısına kapsamaktadır.
| Ülke | Toplam redis örnekleri | Yetkısız (Auth Auth) | Yüzde Kimliksiz |
|---|---|---|---|
| Çin | 140.170 | 12.030 | % 8.58 |
| Amerika Birleşik Devletleri | 50.160 | 8.806 | % 17.56 |
| Almanya | 20.400 | 6.854 | % 33.70 |
| Hong Kong | 12.760 | 831 | % 6,51 |
| Singapur | 11.710 | 2.126 | % 18.16 |
| Hindistan | 7.456 | 2.206 | % 29.60 |
| Hollanda | 7.249 | 1.310 | % 18.07 |
| Rusya | 7.055 | 2.805 | % 39.77 |
| Güney Kore | 5.950 | 1.820 | % 30.50 |
| Japonya | 5.202 | 734 | % 14.11 |
| Fransa | 5.152 | 1.196 | % 23.22 |
| Birleşik Krallık | 4,015 | 1.086 | % 27.06 |
| Brezilya | 3.878 | 882 | % 22.74 |
| Finlandiya | 3.034 | 1.266 | % 41.73 |
| Kanada | 2.825 | 527 | % 18.65 |
| Vietnam | 2.484 | 871 | % 35.06 |
| Endonezya | 2.394 | 588 | % 24.57 |
| Avustralya | 2.227 | 357 | % 16.02 |
| İrlanda | 2.131 | 300 | % 14.07 |
CloudSek analistleri, Ta-Natalstatus’un basit bir kriptolama operasyonundan kapsamlı bir rootkit tarzı saldırı çerçevesine dönüştüğünü ortaya koyarak, bu gelişmiş kalıcı tehdidi tanımladılar.
Tehdit aktörleri, standart izleme araçlarına neredeyse tespit edilemez kalırken, tehlikeye atılmış sunucuları uzun vadeli madencilik varlıklarına dönüştüren süreç kaçırma, komuta gizleme ve zamanlama tekniklerini dahil ederek, gizli yeteneklerini sistematik olarak yükselttiler.
Saldırı metodolojisi, “miras tarafından kök” tekniği olarak bilinen temel bir güvenlik zayıflığından yararlanır;
Saldırganlar, geleneksel güvenlik açıklarından yararlanmak yerine, kalıcı erişim ve kontrol elde etmek için meşru redis operasyonlarından yararlanır.
Gelişmiş kalıcılık ve kaçınma mekanizmaları*
Kötü amaçlı yazılımların kalıcılık stratejisi, sistem manipülasyonu ve savunma kaçakçılığında bir masterclass’ı temsil eder. Ta-NatalStatus, kritik sistem kamu hizmetlerinin sistematik olarak kötü niyetli ambalajlarla değiştirildiği ikili kaçırma ile başlayan çok katmanlı bir yaklaşım kullanır.
Saldırganlar meşru ikili dosyaları yeniden adlandırıyor ps Ve top ile ps.original Ve top.originalardından madencilik süreçlerinin kanıtlarını filtrelerken orijinal komutları yürüten özel komut dosyalarını yükleyin.
Saldırı dizisi, bir dizi yapılandırma kümesi komutu aracılığıyla sofistike redis manipülasyonunu içerir. Saldırganlar Redis veritabanı çıkışını yeniden yönlendiriyor /var/spool/cron/root ve otomatik yük indirmelerini tetikleyen kötü niyetli cron işleri enjekte edin.
Teknik, Redis’in kök ayrıcalıklarıyla çalışırken keyfi dosyalar yazma yeteneğinden yararlanır ve veritabanı hizmetini sürekli kötü amaçlı yazılım kurulumu için bir dağıtım mekanizmasına dönüştürür.
Uzun vadeli kalıcılığı sağlamak için kötü amaçlı yazılım, değişmez dosya koruması uygular. chattr +i Komut, temel kötü amaçlı yazılım bileşenlerini kök kullanıcıları tarafından bile alçaltılamaz hale getirir.
Bu teknik, “UC1” ayırt edici anahtar yorumu kullanılarak SSH arka kapı kurulumu ile birleştiğinde, sistemin yeniden başlatılmasını ve temel temizleme girişimlerini hayatta kalan birden fazla erişim yolu oluşturur.
Kapsamlı yaklaşım, enfekte olmuş sistemleri hem rakip kötü amaçlı yazılım hem de yönetici iyileştirme çabalarına karşı aktif olarak savunan esnek madencilik platformlarına dönüştürür.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.