استفاده کمپین جدید Cryptojacking از سرور‌های پایگاه داده Redis با پیکربندی نادرست

سرورهای پایگاه داده Redis با پیکربندی نادرست، هدف یک کمپین جدید cryptojacking هستند که از یک سرویس انتقال فایل خط فرمان قانونی و متن باز برای اجرای حمله خود استفاده می کند.

کادو سکیوریتی در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت: زیربنای این کمپین استفاده از انتقال [.]sh بود. “ممکن است این تلاشی برای فرار از شناسایی بر اساس سایر دامنه های میزبان کد رایج (مانند pastebin[.]com) باشد.”

 

 

شرکت امنیت سایبری ابری گفت که تعامل خط فرمان مرتبط با انتقال[.]sh آن را به ابزاری ایده آل برای میزبانی و تحویل بارهای مخرب تبدیل کرده است.

زنجیره حمله با هدف قرار دادن استقرارهای ناامن Redis آغاز می شود و به دنبال آن یک کار cron ثبت می شود که در صورت تجزیه توسط زمان بندی منجر به اجرای کد دلخواه می شود. این کار برای بازیابی محموله ای طراحی شده است که در انتقال[.]sh میزبانی شده است.

شایان ذکر است که مکانیسم‌های حمله مشابهی توسط سایر بازیگران تهدید مانند TeamTNT و WatchDog در عملیات‌های cryptojack خود به کار گرفته شده‌اند.

payload اسکریپتی است که راه را برای استخراج کننده ارز دیجیتال XMRig هموار می کند، اما نه قبل از انجام مراحل مقدماتی برای آزاد کردن حافظه، پایان دادن به ماینرهای رقیب و نصب یک ابزار اسکنر شبکه به نام pnscan برای یافتن سرورهای آسیب پذیر Redis و انتشار عفونت.

 

 

این شرکت گفت: «اگرچه واضح است که هدف این کمپین ربودن منابع سیستم برای استخراج ارزهای دیجیتال است، اما آلودگی توسط این بدافزار می‌تواند اثرات ناخواسته‌ای داشته باشد. “پیکربندی بی رویه سیستم های مدیریت حافظه لینوکس می تواند به راحتی منجر به خراب شدن داده ها یا از دست دادن در دسترس بودن سیستم شود.”

این توسعه آن را به جدیدترین تهدید برای حمله به سرورهای Redis پس از Redigo و HeadCrab در ماه های اخیر تبدیل می کند.

این یافته‌ها همچنین زمانی به دست آمد که Avertium مجموعه جدیدی از حملات را فاش کرد که در آن سرورهای SSH مجبور می‌شوند بدافزار بات‌نت XorDdos را بر روی سرورهای آسیب‌دیده با هدف راه‌اندازی حملات انکار سرویس توزیع‌شده (DDoS) علیه اهدافی که در چین وایالات متحده آمریکا قرار دارند، مستقر کنند.

این شرکت امنیت سایبری اعلام کرد که ۱٫۲ میلیون تلاش غیرمجاز برای اتصال SSH در ۱۸ هانی پات بین ۶ اکتبر ۲۰۲۲ تا ۷ دسامبر ۲۰۲۲ مشاهده کرده است. این شرکت این فعالیت را به یک عامل تهدید مستقر در چین نسبت داده است.

۴۲ درصد از این تلاش ها از ۴۹ آدرس IP اختصاص داده شده به شبکه استانی چین نت جیانگ سو سرچشمه می گیرد و بقیه از ۸۰۰۰ آدرس IP پراکنده در سراسر جهان سرچشمه می گیرند.

Avertium گفت: “مشخص شد که وقتی اسکن یک پورت باز را شناسایی کرد، با استفاده از لیستی از تقریباً ۱۷۰۰۰ رمز عبور، در معرض حمله brute-force علیه حساب “root” قرار خواهد گرفت. هنگامی که حمله brute-force موفقیت آمیز بود، یک ربات XorDDoS نصب شد.

پست‌های مشابه

Leave a Comment