Cybersecurity -onderzoekers vestigen de aandacht op een nieuwe Linux Cryptojacking -campagne die zich richt op openbaar toegankelijke Redis -servers.
De kwaadwillende activiteit is gecodeerd Redisraider door Datadog Security Labs.
“Redisraider scant agressief gerandomiseerde delen van de IPv4 -ruimte en maakt gebruik van legitieme Redis -configuratiecommando’s om kwaadaardige Cron -banen uit te voeren op kwetsbare systemen,” zeiden beveiligingsonderzoekers Matt Muir en Frederic Baguelin.
Het einddoel van de campagne is om een GO-gebaseerde primaire lading te laten vallen die verantwoordelijk is voor het ontketenen van een XMRIG-mijnwerker op gecompromitteerde systemen.
De activiteit houdt in dat een op maat gemaakte scanner wordt gebruikt om openbaar toegankelijke Redis -servers op internet te identificeren en vervolgens een info -opdracht uit te geven om te bepalen of de instanties op een Linux -host worden uitgevoerd. Als het het geval is gebleken, gaat het scanalgoritme over tot misbruik van Redis’s setcommando om een Cron -taak te injecteren.
De malware gebruikt vervolgens de opdracht Config om de Redis-werkmap te wijzigen in “/etc/cron.d” en schrijf naar de locatie een databasebestand met de naam “Apache”, zodat deze periodiek wordt gekozen door de Cron-planner en een Base64-gecodeerd shell-script uitvoert, dat vervolgens de Redisraider binary downloadt van een externe server.
De payload dient in wezen als een druppelaar voor een op maat gemaakte versie van XMRIG en verspreidt de malware ook naar andere Redis -instanties, waardoor het bereik en de schaal effectief wordt uitgebreid.
“Naast server-side cryptojacking organiseerde de infrastructuur van Redisraider ook een webgebaseerde Monero-mijnwerker, wat een strategie voor meerdere inkomsten generatie mogelijk maakte,” zeiden de onderzoekers.
“De campagne bevat subtiele anti-forensische maatregelen, zoals short-key time-to-live (TTL) -instellingen en databaseconfiguratiewijzigingen, om detectie te minimaliseren en post-incident analyse te belemmeren.”
De openbaarmaking komt wanneer Guardz details onthulde van een gerichte campagne die legacy-authenticatieprotocollen in Microsoft Entra ID naar brute-force-accounts benutten. De activiteit, waargenomen tussen 18 maart en 7 april 2025, is gebleken om BAV2ROPC te benutten (kort voor “Basic Authentication Version 2 – Resource Owner Wachtwoordreferentie”) om verdedigingen zoals multi -factor authenticatie (MFA) en voorwaardelijke toegang te omzeilen.
“Het tracking en onderzoek onthulden systematische exploitatiepogingen die de inherente ontwerpbeperkingen van Bav2ROPC benutten, die dateren van vóór hedendaagse beveiligingsarchitecturen,” zei Elli Shlomo, hoofd van beveiligingsonderzoek bij Guardz. “De dreigingsacteurs achter deze campagne toonden een diep begrip van identiteitssystemen.”
De aanvallen zouden voornamelijk zijn afkomstig uit Oost-Europa en de Azië-Pacific-regio’s, voornamelijk gericht op admin-accounts met behulp van legacy authenticatie-eindpunten.
“Terwijl reguliere gebruikers het grootste deel van de authenticatiepogingen ontvingen (50,214), werden beheerdersaccounts en gedeelde mailboxen gericht bij een specifiek patroon, waarbij admin -rekeningen 9.847 pogingen ontvingen over 432 IP’s gedurende 8 uur, wat een gemiddelde van 22,79 pogingen per IP en een snelheid van 1.230,87 pogingen per uur ontvangt,” de vennootschap zei.
“Dit duidt op een zeer geautomatiseerde en geconcentreerde aanvalscampagne die specifiek is ontworpen om geprivilegieerde accounts in gevaar te brengen met behoud van een breder aanvaloppervlak tegen reguliere gebruikers.”
Dit is niet de eerste keer dat legacy -protocollen zijn misbruikt voor kwaadaardige activiteiten. In 2021 heeft Microsoft een grootschalige campagne voor e-mailcompromis (BEC) bekendgemaakt die BAV2ROPC en IMAP/POP3 gebruikte om MFA en e-mailgegevens te omzeilen.
Om de risico’s van dergelijke aanvallen te verzachten, wordt geadviseerd om de verificatie van de oude toegang te blokkeren via een voorwaardelijk toegangsbeleid, Bav2ROPC uitschakelen en SMTP -auth in Exchange Online uit te schakelen, zo niet in gebruik.
