Новая криптомайнинговая кампания использует неправильно настроенные серверы баз данных Redis

Неправильно настроенные серверы баз данных Redis являются целью новой кампании криптоджекинга , использующую зарубежный сервис передачи файлов «transfer.sh» для реализации своей атаки.

Фирма по облачной кибербезопасности Cado Security заявила , что интерактивность командной строки, связанная с transfer.sh, сделала данный сервис идеальным инструментом для размещения и доставки вредоносных полезных нагрузок.

Цепочка атак начинается с поиска уязвимых развёртываний Redis, после чего следует регистрация демона «cron», который приводит к выполнению произвольного кода. Демон предназначен для получения полезной нагрузки, размещенной на transfer.sh.

Стоит отметить, что аналогичные механизмы атаки использовались другими злоумышленниками, такими как TeamTNT и WatchDog, в своих операциях по криптоджекингу.

Полезная нагрузка представляет собой скрипт, загружающий и активирующий майнер криптовалюты XMRig . Но не раньше, чем будут предприняты подготовительные шаги по освобождению памяти, остановке конкурирующих майнеров и установке утилиты сетевого сканирования под названием «pnscan» для поиска уязвимых серверов Redis и распространения вредоноса.

«Хотя ясно, что целью этой кампании является захват системных ресурсов для майнинга криптовалюты, заражение этим вредоносным ПО может иметь непредвиденные последствия», — заявили в компании. «Необдуманная конфигурация систем управления памятью Linux может легко привести к повреждению данных или потере доступности системы».

Ранее уязвимости серверов Redis использовали вредоносы Redigo и HeadCrab .