Вредонос доставляет полезную нагрузку с помощью общедоступного файлообменника transfer.sh.
Неправильно настроенные серверы баз данных Redis являются целью новой кампании криптоджекинга, использующую зарубежный сервис передачи файлов «transfer.sh» для реализации своей атаки.
Фирма по облачной кибербезопасности Cado Security заявила , что интерактивность командной строки, связанная с transfer.sh, сделала данный сервис идеальным инструментом для размещения и доставки вредоносных полезных нагрузок.
Цепочка атак начинается с поиска уязвимых развёртываний Redis, после чего следует регистрация демона «cron», который приводит к выполнению произвольного кода. Демон предназначен для получения полезной нагрузки, размещенной на transfer.sh.
Стоит отметить, что аналогичные механизмы атаки использовались другими злоумышленниками, такими как TeamTNT и WatchDog, в своих операциях по криптоджекингу.
Полезная нагрузка представляет собой скрипт, загружающий и активирующий майнер криптовалюты XMRig. Но не раньше, чем будут предприняты подготовительные шаги по освобождению памяти, остановке конкурирующих майнеров и установке утилиты сетевого сканирования под названием «pnscan» для поиска уязвимых серверов Redis и распространения вредоноса.
«Хотя ясно, что целью этой кампании является захват системных ресурсов для майнинга криптовалюты, заражение этим вредоносным ПО может иметь непредвиденные последствия», — заявили в компании. «Необдуманная конфигурация систем управления памятью Linux может легко привести к повреждению данных или потере доступности системы».
Ранее уязвимости серверов Redis использовали вредоносы Redigo и HeadCrab .
От классики до авангарда — наука во всех жанрах