Aqua Security-forskare upptäckte en sofistikerad kampanj ledd av HeadCrab-hotaktörer, som riktar sig mot Internet-exponerade Redis-servrar för att kapa dem och lägga till dem i deras botnät.
Detta används i sin tur för kryptomining, särskilt Monero-myntet. Forskarna noterar att skadlig programvara är specialdesignad för att injicera dess nyttolast i minnet, för att undvika att upptäckas av säkerhetslösningar. Redis-serveradministratörer rekommenderas att stänga portar och tillämpa åtkomstbegränsningar för att vara säkra.
Exploatering av Redis-servrar för kryptomining
Aqua Securitys Nitzan Yaakov och Asaf Eitani har detaljerat en botnätkampanj: där en hotaktör distribuerar en ny skadlig programvara som heter HeadCrab mot Redis-servrar. I den här rapporten noterade forskarna att kampanjen har pågått sedan september 2021 och nu har mer än 1 200 sårbara Redis-servrar infekterade.
Hackare utnyttjar det faktum att Redis-servrar inte kommer med standardautentisering, eftersom de är designade för att användas inom en organisations nätverk och inte bör exponeras för Internet utan ett meningsfullt syfte.
Men det finns tillfällen då administratörer av misstag avslöjar dem eller gör felaktiga konfigurationer, vilket leder till att hotaktörer utnyttjar dem för användning. Samma sak händer i det här fallet, eftersom hotaktörer som utnyttjar exponerade Redis-servrar aktiverar‘ styr och fjärrstyr dem.
Den här funktionen låter dem också installera HeadCrab, en relativt ny skadlig programvara som installerar sig själv i systemminnet på komprometterade servrar. Den raderar alla loggar och kommunicerar endast med hackerkontrollerade servrar. Och eftersom dessa är de andra Redis-servrarna på nätverket, flaggar säkerhetslösningar ofta inte dem.
Dessutom noterade forskarna att nyttolasten från denna operation är installerad i filer som endast är minnesvärda, vilket förhindrar antivirusprogram från att svartlista dem. Alla dessa komprometterade servrar går sedan med i ett botnät för kryptomining: speciellt Monero.
Forskarna noterade att Monero-plånboken kopplad till denna botnät-operation visade att varje arbetare tjänade $4 500 som årlig vinst, helt enkelt häpnadsväckande jämfört med den vanliga vinsten på $200 per arbetare i liknande verksamheter.
