配置错误的Redis数据库成为新型加密劫持攻击新目标

配置错误的Redis数据库服务器已成为新型加密劫持活动的目标,该活动利用合法的开源命令行文件传输服务实施攻击。
Cado Security在与国外安全资讯网站分享的一份报告中说:“这一活动的基础是使用transfer[.]sh。” “这可能是为了逃避基于其他常见代码托管域(例如 pastebin[.]com)的检测。”
这家云网络安全公司表示,与 transfer[.]sh 相关的命令行交互性使其成为托管和传送恶意负载的理想工具。
攻击链从针对不安全的Redis部署开始,然后注册一个cron 作业,该作业在被调度程序解析时导致任意代码执行。该作业旨在检索托管在transfer[.]sh上的有效负载。
值得注意的是,类似的攻击机制已被其他威胁参与者(如 TeamTNT 和 WatchDog)在其加密劫持操作中使用。
有效负载是为XMRig加密货币矿工的辅助脚本,但在同时也会采取释放准备内存、终止竞争矿工并安装名为pnscan的网络扫描实用程序以查找易受攻击的Redis服务器。

该公司表示:“虽然此活动的目标很明显是劫持系统资源以挖掘加密货币,但这种恶意软件的感染可能会产生意想不到的影响。” “Linux 内存管理系统的鲁莽配置很容易导致数据损坏或系统可用性降低。”
这一发展使其成为近几个月继Redigo和HeadCrab之后袭击Redis服务器的最新方式。
调查结果还发布之际,Avertium披露了一组新的攻击,其中SSH服务器被强制在受感染的服务器上部署XorDdos僵尸网络,目的是发起分布式拒绝服务 (DDoS) 攻击美国
这家网络安全公司表示,在2022年10月6日至2022年12月7日期间,它在18个蜜罐中观察到120万次未经授权的SSH连接尝试。
其中42%的尝试来自分配给ChinaNet江苏省网络的49个IP 地址,其余来自分布在世界各地的8,000个IP地址。
“我们发现,一旦扫描识别出一个开放端口,就会使用大约17,000个密码的列表对‘根’帐户进行暴力攻击,”Avertium 说。“一旦暴力攻击成功,就会安装 XorDDoS 僵尸程序。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4573.html