Cybersecurity -onderzoekers vestigen de aandacht op meerdere campagnes die bekende beveiligingskwetsbaarheden gebruiken en redis -servers blootstellen aan verschillende kwaadaardige activiteiten, waaronder het gebruik van de gecompromitteerde apparaten als IoT -botnets, residentiële proxy’s of cryptocurrency -mijnbouwinfrastructuur.
De eerste reeks aanvallen omvat de exploitatie van CVE-2024-36401 (CVSS-score: 9.8), een kritische kwetsbaarheid van de externe code die van invloed is op OSGEO Geoserver Geotools die sinds eind vorig jaar wordt bewapend in cyberaanvallen.
“Criminelen hebben de kwetsbaarheid gebruikt om legitieme softwareontwikkelingskits (SDK’s) of aangepaste apps in te zetten om passief inkomen te verkrijgen via netwerkuitwisseling of residentiële proxy’s,” zei Palo Alto Networks Unit 42 onderzoekers Zhibin Zhang, Yiheng An, Chao Lei en Haozhe Zhang in een technisch rapport.
“Deze methode voor het genereren van passief inkomen is met name heimelijk. Het nabootst een strategie voor het genereren van inkomsten die wordt gebruikt door sommige legitieme app-ontwikkelaars die SDK’s kiezen in plaats van traditionele advertenties weer te geven. Dit kan een goedbedoelde keuze zijn die de gebruikerservaring beschermt en de app-retentie verbetert.”
Het cybersecuritybedrijf zei dat aanvallers geoserver-instanties hebben onderzocht die zijn blootgesteld aan internet sinds al minstens begin maart 2025, waardoor de toegang tot aangepaste uitvoerbare bestanden van tegenstanders-gecontroleerde servers wordt gebruikt. De payloads worden gedistribueerd via een privé-exemplaar van een server voor het delen van bestanden met behulp van Transfer.sh, in tegenstelling tot een conventionele HTTP-webserver.
De applicaties die in de campagne worden gebruikt, zijn bedoeld om onder de radar te vliegen door minimale middelen te consumeren, terwijl ze heimelijk inkomend zijn op de internetbandbreedte van slachtoffers zonder de noodzaak van het distribueren van aangepaste malware. De binaries, geschreven in DART, zijn ontworpen om te communiceren met legitieme passieve inkomensdiensten, discreet met behulp van de apparaatbronnen voor activiteiten zoals het delen van bandbreedte.
De aanpak is een win-win situatie voor alle betrokken partijen, omdat ontwikkelaars van de applicaties betalingen ontvangen in ruil voor de integratie van de functie, en de cybercriminelen winst maken met ongebruikte bandbreedte met behulp van een schijnbaar onschadelijk kanaal dat geen rode vlaggen verhoogt.
“Eenmaal actief, werkt het uitvoerbare bestand heimelijk op de achtergrond, het bewaken van apparatenbronnen en het illegaal delen van de bandbreedte van het slachtoffer waar mogelijk,” zei Unit 42. “Dit genereert passief inkomen voor de aanvaller.”
Telemetriegegevens verzameld door het bedrijf tonen aan dat er meer dan 7.100 openbaar blootgestelde geoserverinstanties in 99 landen waren, waarbij China, de Verenigde Staten, Duitsland, Groot -Brittannië en Singapore de top vijf plekken namen.
“Deze lopende campagne toont een belangrijke evolutie in hoe tegenstanders inkomsten met gecompromitteerde systemen verdienen,” zei Unit 42. “De kernstrategie van de aanvallers richt zich op stealthy, aanhoudende inkomsten in plaats van agressieve uitbuiting van hulpbronnen. Deze aanpak is voorstander van langdurige, low-profile inkomsten generatie boven gemakkelijk detecteerbare technieken.”
De openbaarmaking komt als Censys gedetailleerd de infrastructurele backbone die een grootschalige IoT-botnet aandrijft genaamd PolaredGe die bestaat uit enterprise-grade firewalls en consumentgerichte apparaten zoals routers, IP-camera’s en voip-telefoons door gebruik te maken van bekende beveiligingsvulnerabilities. Het exacte doel is momenteel niet bekend, hoewel het duidelijk is dat de botnet niet wordt gebruikt voor willekeurige massa -scannen.
De eerste toegang wordt vervolgens misbruikt om een aangepaste TLS-achterdeur te laten vallen op basis van MBED TL’s die gecodeerde command-en-controle-, log-opruiming en dynamische infrastructuurupdates mogelijk maken. De achterdeur is vaak waargenomen ingezet op hoge, niet-standaardhavens, waarschijnlijk als een manier om traditionele netwerkscans en defensieve monitoringbereiken te omzeilen.
Polaredge vertoont eigenschappen die aansluiten bij een Operational Relay Box (ORB) -netwerk, waarbij het aanvalsoppervlakbeheerplatform stelt dat er aanwijzingen zijn dat de campagne al in juni 2023 begon en vanaf deze maand ongeveer 40.000 actieve apparaten bereikt. Meer dan 70% van de infecties is verspreid over Zuid -Korea, de Verenigde Staten, Hong Kong, Zweden en Canada.
“Orbs zijn gecompromitteerd exit -knooppunten die verkeer doorsturen om extra compromissen of aanvallen uit te voeren namens dreigingsactoren,” zei beveiligingsonderzoeker Himaja Motheram. “Wat orbs zo waardevol maakt voor aanvallers, is dat ze de kernfunctie van het apparaat niet hoeven over te nemen – ze kunnen stilletjes verkeer op de achtergrond doorgeven, terwijl het apparaat normaal blijft werken, waardoor detectie door de eigenaar of ISP onwaarschijnlijk is.”
In de afgelopen maanden zijn kwetsbaarheden in producten van leveranciers zoals Draytek, TP-Link, Raisecom en Cisco het doelwit van slechte actoren om ze te infiltreren en een Mirai Botnet-variant te implementeren die GayFemboy codeerde, wat suggereert dat een uitbreiding van de targetingcope.
“De Gayfemboy -campagne omvat meerdere landen, waaronder Brazilië, Mexico, de Verenigde Staten, Duitsland, Frankrijk, Zwitserland, Israël en Vietnam,” zei Fortinet. “De doelen bestrijken ook een breed scala aan sectoren, zoals productie, technologie, constructie en media of communicatie.”
GayFemboy is in staat om zich te richten op verschillende systeemarchitecturen, waaronder ARM, AARCH64, MIPS R3000, PowerPC en Intel 80386. Het bevat vier primaire functies –
- Monitordie threads en processen volgt terwijl het opneemt van persistentie- en sandbox -ontwijkingstechnieken
- Waakhonddie probeert te binden aan UDP -poort 47272
- Aanvallerdie DDOS -aanvallen start met behulp van UDP-, TCP- en ICMP -protocollen, en toegang tot achterdeur mogelijk maakt door verbinding te maken met een externe server om opdrachten te ontvangen
- Moordenaardie zichzelf beëindigt als het de opdracht van de server ontvangt of sandbox -manipulatie detecteert
“Terwijl Gayfemboy structurele elementen van Mirai erft, introduceert het opmerkelijke wijzigingen die zowel de complexiteit als de vermogen om detectie te ontspannen, te ontwerpen,” zei beveiligingsonderzoeker Vincent Li. “Deze evolutie weerspiegelt de toenemende verfijning van moderne malware en versterkt de noodzaak van proactieve, inlichtingengestuurde verdedigingsstrategieën.”
De bevindingen vallen ook samen met een cryptojacking-campagne die wordt uitgevoerd door een dreigingsacteur genaamd Ta-natalstatus die zich richt op blootgestelde Redis-servers om mijnwerkers van cryptocurrency te leveren.
De aanval omvat in wezen scannen op niet -geauthenticeerde Redis -servers op poort 6379, gevolgd door het geven van legitieme configuratie, set en save -opdrachten om een kwaadwillende cron -taak uit te voeren die is ontworpen om een shell -script uit te voeren dat Selinux uitschakelt, blokkeert externe verbindingen naar de Redis -poort om te voorkomen dat de Redis -poort rivivatie -poort kan voorkomen, en bestelt een externe verbindingen (EG, en beëindig Kinten).
Ook zijn de scripts geïmplementeerd om tools zoals MassCan of PNScan te installeren en vervolgens commando’s zoals “MassCan – -Shard” te lanceren om internet te scannen op gevoelige Redis -instanties. De laatste stap omvat het opzetten van persistentie via een Cron -taak per uur en het aftrap van het mijnbouwproces.
Cybersecurity Firm Cloudsek zei dat de activiteit een evolutie is van een aanvalscampagne die in april 2020 door Trend Micro is bekendgemaakt, inpakken in nieuwe functies om Rootkit-achtige functies te huisvesten om kwaadaardige processen te verbergen en de tijdstempels van hun bestanden te wijzigen om forensische analyse te dwazen.
“Door het hernoemen van systeembinaries zoals PS en bovenaan Ps.original en ze vervangen door kwaadaardige wikkels, filteren ze hun eigen malware (HTTPGD) uit de output. Een beheerder die op zoek is naar de mijnwerker zal het niet zien met standaardtools,” zei onderzoeker Abhishek Mathew. “Ze hernoemen CURL en WGET naar CD1 en WD1. Dit is een eenvoudige maar briljante methode om beveiligingsproducten te omzeilen die controleren op kwaadaardige downloads die specifiek zijn geïnitieerd door deze gemeenschappelijke gereedschapsnamen.”
