تستفيد حملة Cryptojacking الجديدة من خوادم قاعدة بيانات Redis التي تم تكوينها بشكل خاطئ
تعد خوادم قاعدة بيانات Redis التي تم تكوينها بشكل خاطئ هدفًا لحملة تشفير جديدة تستفيد من خدمة نقل ملفات سطر أوامر شرعية ومفتوحة المصدر لتنفيذ هجومها.
وقال Cado Security في تقرير تمت مشاركته مع The Hacker News: "كان أساس هذه الحملة هو استخدام النقل [.] sh" . "من المحتمل أنها محاولة لتجنب الاكتشافات استنادًا إلى مجالات استضافة التعليمات البرمجية الشائعة الأخرى (مثل pastebin [.] com)."
قالت شركة الأمن السيبراني السحابية إن تفاعل سطر الأوامر المرتبط بالنقل [.] sh جعلها أداة مثالية لاستضافة وتسليم الحمولات الضارة.
تبدأ سلسلة الهجوم باستهداف عمليات نشر Redis غير الآمنة ، متبوعة بتسجيل وظيفة cron تؤدي إلى تنفيذ تعليمات برمجية عشوائية عند تحليلها بواسطة المجدول. تم تصميم الوظيفة لاسترداد الحمولة المستضافة عند النقل [.] sh.
تجدر الإشارة إلى أنه تم استخدام آليات هجوم مماثلة من قبل جهات تهديدات أخرى مثل TeamTNT و WatchDog في عمليات cryptojacking الخاصة بهم.
الحمولة عبارة عن برنامج نصي يمهد الطريق لعامل منجم XMRig للعملات المشفرة ، ولكن ليس قبل اتخاذ خطوات تحضيرية لتحرير الذاكرة ، وإنهاء عمال المناجم المتنافسين ، وتثبيت أداة مسح ضوئي للشبكة تسمى pnscan للعثور على خوادم Redis المعرضة للخطر ونشر العدوى.
تأتي النتائج أيضًا في الوقت الذي كشفت فيه Avertium عن مجموعة جديدة من الهجمات التي يتم فيها إجبار خوادم SSH على نشر البرمجيات الخبيثة XorDdos botnet على الخوادم المخترقة بهدف إطلاق هجمات رفض الخدمة الموزعة (DDoS) ضد أهداف موجودة في الصين و الولايات المتحدة
قالت شركة الأمن السيبراني إنها لاحظت 1.2 مليون محاولة اتصال SSH غير مصرح بها عبر 18 موقع جذب بين 6 أكتوبر 2022 و 7 ديسمبر 2022. وعزت هذا النشاط إلى جهة تهديدات مقرها الصين.
نشأت 42٪ من هذه المحاولات من 49 عنوان IP مخصصًا لشبكة مقاطعة جيانغسو ChinaNet ، بينما انبثق الباقي من 8000 عنوان IP منتشر في جميع أنحاء العالم.
وقال أفيرتيوم: "تبين أنه بمجرد تحديد الفحص منفذًا مفتوحًا ، فإنه سيتعرض لهجوم شديد القوة ضد حساب" الجذر "باستخدام قائمة تضم ما يقرب من 17000 كلمة مرور". "بمجرد نجاح هجوم القوة الغاشمة ، تم تثبيت روبوت XorDDoS."
