配置错误的Redis数据库成为新型加密劫持攻击新目标

配置错误的Redis数据库服务器已成为新型加密劫持活动的目标，该活动利用合法的开源命令行文件传输服务实施攻击。

Cado Security在与国外安全资讯网站分享的一份报告中说：“这一活动的基础是使用transfer[.]sh。” “这可能是为了逃避基于其他常见代码托管域（例如 pastebin[.]com）的检测。”

这家云网络安全公司表示，与 transfer[.]sh 相关的命令行交互性使其成为托管和传送恶意负载的理想工具。

攻击链从针对不安全的Redis部署开始，然后注册一个cron 作业，该作业在被调度程序解析时导致任意代码执行。该作业旨在检索托管在transfer[.]sh上的有效负载。

值得注意的是，类似的攻击机制已被其他威胁参与者（如 TeamTNT 和 WatchDog）在其加密劫持操作中使用。

有效负载是为XMRig加密货币矿工的辅助脚本，但在同时也会采取释放准备内存、终止竞争矿工并安装名为pnscan的网络扫描实用程序以查找易受攻击的Redis服务器。

该公司表示：“虽然此活动的目标很明显是劫持系统资源以挖掘加密货币，但这种恶意软件的感染可能会产生意想不到的影响。” “Linux 内存管理系统的鲁莽配置很容易导致数据损坏或系统可用性降低。”

这一发展使其成为近几个月继Redigo和HeadCrab之后袭击Redis服务器的最新方式。

调查结果还发布之际，Avertium披露了一组新的攻击，其中SSH服务器被强制在受感染的服务器上部署XorDdos僵尸网络，目的是发起分布式拒绝服务 (DDoS) 攻击美国

这家网络安全公司表示，在2022年10月6日至2022年12月7日期间，它在18个蜜罐中观察到120万次未经授权的SSH连接尝试。

其中42%的尝试来自分配给ChinaNet江苏省网络的49个IP 地址，其余来自分布在世界各地的8,000个IP地址。

“我们发现，一旦扫描识别出一个开放端口，就会使用大约17,000个密码的列表对‘根’帐户进行暴力攻击，”Avertium 说。“一旦暴力攻击成功，就会安装 XorDDoS 僵尸程序。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4573.html