Неправильно настроенные серверы баз данных Redis являются целью новой кампании ” data-html=”true” data-original-title=”Криптоджекинг” >криптоджекинга, использующую зарубежный сервис передачи файлов “transfer.sh” для реализации своей атаки.
Фирма по облачной кибербезопасности Cado Security заявила , что интерактивность командной строки, связанная с transfer.sh, сделала данный сервис идеальным инструментом для размещения и доставки вредоносных полезных нагрузок.
Цепочка атак начинается с поиска уязвимых развёртываний Redis, после чего следует регистрация ” data-html=”true” data-original-title=”Демон” >демона “cron”, который приводит к выполнению произвольного кода. Демон предназначен для получения полезной нагрузки, размещенной на transfer.sh.
Стоит отметить, что аналогичные механизмы атаки использовались другими злоумышленниками, такими как TeamTNT и WatchDog, в своих операциях по криптоджекингу.
Полезная нагрузка представляет собой скрипт, загружающий и активирующий майнер криптовалюты XMRig. Но не раньше, чем будут предприняты подготовительные шаги по освобождению памяти, остановке конкурирующих майнеров и установке утилиты сетевого сканирования под названием “pnscan” для поиска уязвимых серверов Redis и распространения вредоноса.
“Хотя ясно, что целью этой кампании является захват системных ресурсов для майнинга криптовалюты, заражение этим вредоносным ПО может иметь непредвиденные последствия”, – заявили в компании. “Необдуманная конфигурация систем управления памятью Linux может легко привести к повреждению данных или потере доступности системы”.
Ранее уязвимости серверов Redis использовали вредоносы Redigo и HeadCrab .