پژوهشگران امنیت سایبری کمپین جدیدی مرتبط با استخراج رمزارز را شناسایی کردند که سرورهای عمومی Redis روی سیستمهای لینوکسی را هدف قرار میدهد. این فعالیت مخرب، که توسط تیم امنیتی Datadog با نام RedisRaider نامگذاری شده، بخشهای تصادفی از فضای IPv4 را بهصورت تهاجمی اسکن میکند و با استفاده از دستورات قانونی پیکربندی Redis، cron jobهای مخرب را روی سیستمهای آسیبپذیر اجرا میکند.
هدف اصلی این کمپین، استقرار یک پیلود مبتنی بر Go است که ماینر XMRig را روی سیستمهای آلوده راهاندازی میکند. این بدافزار از یک اسکنر سفارشی برای شناسایی سرورهای عمومی Redis استفاده میکند و با ارسال دستور INFO بررسی میکند که آیا Redis روی میزبان لینوکسی اجرا میشود. در صورت تأیید، از دستور SET برای تزریق یک cron job بهره میبرد.
این بدافزار با استفاده از دستور CONFIG، مسیر کاری Redis را به دایرکتوری /etc/cron.d تغییر میدهد و یک فایل پایگاه داده به نام apache ایجاد میکند که بهصورت دورهای توسط برنامه زمانبندی cron اجرا میشود. این فایل شامل اسکریپت شل رمزگذاریشده با Base64 است که بدافزار RedisRaider را از یک سرور راهدور دانلود میکند. پیلود بهعنوان دراپر برای نسخه سفارشی XMRig عمل میکند و بدافزار را به سایر سرورهای Redis گسترش میدهد، که دامنه آلودگی را افزایش میدهد. علاوه بر استخراج رمزارز در سمت سرور، زیرساخت RedisRaider میزبان یک ماینر Monero مبتنی بر وب نیز بود، که نشاندهنده استراتژی چندجانبه برای درآمدزایی است.
این کمپین از تکنیکهای ضدتحلیل و ضدشناسایی مانند تنظیم TTL کوتاه برای کلیدها و تغییر پیکربندی پایگاه داده Redis استفاده کرده تا شناسایی و تحلیل پس از حادثه را دشوار کند.
کشف روش پنهانسازی بدافزار با پروتکل GTP
همزمان با این کمپین، شرکت Guardz گزارشی از حملات هدفمند منتشر کرد که از پروتکلهای احراز هویت قدیمی در Microsoft Entra ID برای اجرای حملات بروتفورس بهره میبردند. این فعالیت، که بین ۱۸ مارس تا ۷ آوریل ۲۰۲۵ مشاهده شد، از روش BAV2ROPC (مخفف Basic Authentication Version 2 – Resource Owner Password Credential) استفاده کرده تا مکانیزمهایی مانند احراز هویت چندمرحلهای (MFA) و سیاستهای دسترسی شرطی را دور بزند.
یافتهها نشان میدهد که مهاجمان از نقصهای طراحی BAV2ROPC، که مربوط به معماریهای امنیتی قدیمی است، سوءاستفاده کردند و این نشانهای از درک عمیق آنها از سیستمهای هویتی است. این حملات، که عمدتا از اروپای شرقی و آسیا-اقیانوسیه منشأ میگیرند، حسابهای مدیریتی را با استفاده از احراز هویت قدیمی هدف قرار دادند.
کاربران عادی هدف حدود ۵۰,۲۱۴ تلاش احراز هویت قرار گرفتند؛ اما حسابهای مدیریتی و ایمیلهای اشتراکی بهطور خاص مورد حمله بودند. حسابهای مدیریتی طی ۸ ساعت حدود ۹,۸۴۷ تلاش از ۴۳۲ آدرس IP دریافت کردند، با میانگین تقریبی ۲۳ تلاش بهازای هر آدرس و نرخ حدود ۱,۲۳۱ تلاش در ساعت، که نشاندهنده حملهای خودکار و هدفمند بود.
این اولین سوءاستفاده از پروتکلهای قدیمی نیست. در سال ۲۰۲۱، مایکروسافت حملاتی گسترده به کسبوکارها را گزارش کرد که از BAV2ROPC و IMAP/POP3 برای دور زدن MFA و سرقت ایمیلها استفاده میکردند.
توصیه امنیتی
برای کاهش ریسک، توصیه میشود:
- مسدود کردن احراز هویت قدیمی از طریق سیاستهای دسترسی شرطی
- غیرفعالسازی BAV2ROPC
- غیرفعال کردن SMTP AUTH در Exchange Online (در صورت عدم استفاده)
