Peneliti cybersecurity meminta perhatian pada kampanye Cryptojacking Linux baru yang menargetkan server Redis yang dapat diakses secara publik.
Aktivitas jahat telah diberi nama sandi Redisraider oleh Datadog Security Labs.
“Redisraider secara agresif memindai bagian acak dari ruang IPv4 dan menggunakan perintah konfigurasi Redis yang sah untuk melaksanakan pekerjaan cron berbahaya pada sistem yang rentan,” kata peneliti keamanan Matt Muir dan Frederic Baguelin.
Tujuan akhir dari kampanye ini adalah untuk menjatuhkan muatan utama berbasis GO yang bertanggung jawab untuk melepaskan penambang XMRIG pada sistem yang dikompromikan.
Kegiatan ini memerlukan menggunakan pemindai yang dipesan lebih dahulu untuk mengidentifikasi server Redis yang dapat diakses secara publik di internet dan kemudian mengeluarkan perintah info untuk menentukan apakah instance berjalan pada host Linux. Jika ditemukan sebagai masalahnya, algoritma pemindaian mulai menyalahgunakan perintah redis yang ditetapkan untuk menyuntikkan pekerjaan cron.
Malware kemudian menggunakan perintah konfigurasi untuk mengubah direktori kerja Redis menjadi “/etc/cron.d” dan menulis ke lokasi file database bernama “Apache” sehingga secara berkala dipilih oleh penjadwal cron dan menjalankan skrip shell yang dikodekan base64, yang kemudian mengunduh biner Redisraider dari server remote.
Payload pada dasarnya berfungsi sebagai penetes untuk versi XMRIG yang dipesan lebih dahulu dan juga menyebarkan malware ke instance Redis lainnya, secara efektif memperluas jangkauan dan skalanya.
“Selain cryptojacking sisi server, infrastruktur Redisraider juga menyelenggarakan Monero Miner berbasis web, memungkinkan strategi pembuatan pendapatan multi-cabang,” kata para peneliti.
“Kampanye ini menggabungkan langkah-langkah anti-forensik yang halus, seperti pengaturan waktu-ke-live (TTL) dan perubahan konfigurasi basis data, untuk meminimalkan deteksi dan menghambat analisis pasca-insiden.”
Pengungkapan tersebut datang ketika Guardz mengungkapkan rincian kampanye yang ditargetkan mengeksploitasi protokol otentikasi warisan di Microsoft EntrA ID untuk akun-akun brute-force. Kegiatan, yang diamati antara 18 Maret dan 7 April 2025, telah ditemukan untuk memanfaatkan BAV2ROPC (kependekan dari “Otentikasi Dasar Versi 2 – Kredensial Kata Sandi Pemilik Sumber Daya”) untuk memotong pertahanan seperti Multi -Factor Authentication (MFA) dan akses bersyarat.
“Pelacakan dan investigasi mengungkapkan upaya eksploitasi sistematis yang memanfaatkan keterbatasan desain bawaan BAV2ROPC, yang mendahului arsitektur keamanan kontemporer,” kata Elli Shlomo, kepala penelitian keamanan di Guardz. “Aktor ancaman di balik kampanye ini menunjukkan pemahaman yang mendalam tentang sistem identitas.”
Serangan tersebut dikatakan berasal terutama dari Eropa Timur dan daerah Asia-Pasifik, terutama menargetkan akun admin menggunakan titik akhir otentikasi lama.
“Sementara pengguna reguler menerima sebagian besar upaya otentikasi (50.214), akun admin dan kotak surat bersama ditargetkan pada pola tertentu, dengan akun admin menerima 9.847 upaya di 432 IPS selama 8 jam, menyarankan rata -rata 22,79 upaya per IP dan kecepatan 1.230,87 upaya per jam,” The Perusahaan per perusahaan dan kecepatan 1,230,87 upaya per jam, “pompi per perusahaan.
“Ini menunjukkan kampanye serangan yang sangat otomatis dan terkonsentrasi yang dirancang khusus untuk membahayakan akun istimewa sambil mempertahankan permukaan serangan yang lebih luas terhadap pengguna reguler.”
Ini bukan pertama kalinya protokol warisan dilecehkan untuk kegiatan jahat. Pada tahun 2021, Microsoft membocorkan kampanye Kompromi Email Bisnis Skala Besar (BEC) yang menggunakan BAV2ROPC dan IMAP/POP3 untuk menghindari MFA dan Exfiltrate Email Data.
Untuk mengurangi risiko yang ditimbulkan oleh serangan seperti itu, disarankan untuk memblokir otentikasi warisan melalui kebijakan akses bersyarat, menonaktifkan BAV2ROPC, dan mematikan SMTP Auth sebagai gantinya secara online jika tidak digunakan.
