- Специальный корреспондент
Готовьтесь к утечке CPU, криптовалюте и новым соседям в crontab.
На фоне роста атак на открытые сервисы в интернете, специалисты по информационной безопасности зафиксировали новую вредоносную кампанию, нацеленную на серверы Redis с открытым доступом. Атака получила название RedisRaider и была подробно проанализирована командой Datadog Security Labs.
Целью злоумышленников являются уязвимые Redis-инстансы, доступные извне. Используя специально созданный сканер, атакующие последовательно проверяют случайные участки IPv4-пространства в поисках доступных Redis-серверов. Как только такой сервер найден, с помощью команды INFO проверяется, работает ли он под управлением Linux. Если да — на систему внедряется вредоносный планировщик заданий.
В ход идут легитимные команды конфигурации Redis, включая SET и CONFIG, с помощью которых меняется рабочая директория Redis на «/etc/cron.d». Затем туда записывается файл под видом базы данных с именем «apache», содержащий закодированный скрипт на Bash. Этот скрипт скачивает и запускает основной вредоносный компонент — бинарник RedisRaider, написанный на языке Go.
Дальнейшее выполнение включает загрузку кастомной версии популярного майнера XMRig, запускаемого для добычи криптовалюты Monero. Кроме того, RedisRaider умеет распространяться по сети, заражая другие уязвимые Redis-инстансы — это обеспечивает горизонтальное масштабирование атаки и увеличение прибыли.
Операторы вредоносной кампании предусмотрели меры для сокрытия следов. В частности, используется минимальное время жизни ключей (TTL) и нестандартная настройка базы данных, что затрудняет выявление вредоносной активности и последующий анализ инцидента. Помимо внедрения майнера на сервер, инфраструктура RedisRaider также размещает веб-интерфейс для добычи Monero — таким образом, используется комбинированная стратегия дохода.
Как выяснилось, злоумышленники действовали системно, сосредоточившись на атаках по паролю на административные учётные записи и общие почтовые ящики. Основной активностью отличались IP-адреса из Восточной Европы и стран Азиатско-Тихоокеанского региона. В общей сложности зафиксировано более 50 тысяч попыток аутентификации по обычным пользователям и почти 10 тысяч попыток на администраторские учётки — при этом скорость атаки достигала более тысячи попыток в час.
Похожий приём уже использовался в 2021 году во время масштабной атаки на корпоративную почту, когда с помощью IMAP/POP3 и BAV2ROPC киберпреступники обходили защиту и похищали данные. Для защиты от подобных угроз эксперты рекомендуют отключить устаревшие протоколы, в частности деактивировать BAV2ROPC и SMTP AUTH в Exchange Online, а также внедрить жёсткие политики Conditional Access.
На фоне роста атак на открытые сервисы в интернете, специалисты по информационной безопасности зафиксировали новую вредоносную кампанию, нацеленную на серверы Redis с открытым доступом. Атака получила название RedisRaider и была подробно проанализирована командой Datadog Security Labs.
Целью злоумышленников являются уязвимые Redis-инстансы, доступные извне. Используя специально созданный сканер, атакующие последовательно проверяют случайные участки IPv4-пространства в поисках доступных Redis-серверов. Как только такой сервер найден, с помощью команды INFO проверяется, работает ли он под управлением Linux. Если да — на систему внедряется вредоносный планировщик заданий.
В ход идут легитимные команды конфигурации Redis, включая SET и CONFIG, с помощью которых меняется рабочая директория Redis на «/etc/cron.d». Затем туда записывается файл под видом базы данных с именем «apache», содержащий закодированный скрипт на Bash. Этот скрипт скачивает и запускает основной вредоносный компонент — бинарник RedisRaider, написанный на языке Go.
Дальнейшее выполнение включает загрузку кастомной версии популярного майнера XMRig, запускаемого для добычи криптовалюты Monero. Кроме того, RedisRaider умеет распространяться по сети, заражая другие уязвимые Redis-инстансы — это обеспечивает горизонтальное масштабирование атаки и увеличение прибыли.
Операторы вредоносной кампании предусмотрели меры для сокрытия следов. В частности, используется минимальное время жизни ключей (TTL) и нестандартная настройка базы данных, что затрудняет выявление вредоносной активности и последующий анализ инцидента. Помимо внедрения майнера на сервер, инфраструктура RedisRaider также размещает веб-интерфейс для добычи Monero — таким образом, используется комбинированная стратегия дохода.
Как выяснилось, злоумышленники действовали системно, сосредоточившись на атаках по паролю на административные учётные записи и общие почтовые ящики. Основной активностью отличались IP-адреса из Восточной Европы и стран Азиатско-Тихоокеанского региона. В общей сложности зафиксировано более 50 тысяч попыток аутентификации по обычным пользователям и почти 10 тысяч попыток на администраторские учётки — при этом скорость атаки достигала более тысячи попыток в час.
Похожий приём уже использовался в 2021 году во время масштабной атаки на корпоративную почту, когда с помощью IMAP/POP3 и BAV2ROPC киберпреступники обходили защиту и похищали данные. Для защиты от подобных угроз эксперты рекомендуют отключить устаревшие протоколы, в частности деактивировать BAV2ROPC и SMTP AUTH в Exchange Online, а также внедрить жёсткие политики Conditional Access.
