Forskare vid Aqua Security upptäckte en sofistikerad kampanj ledd av HeadCrab-hotaktörer, som riktar in sig på Internet-exponerade Redis-servrar för att kapa och lägga till dem i deras botnät.
Detta används i sin tur för kryptomining, särskilt Monero-myntet. Forskare noterar att skadlig programvara är specialdesignad för att injicera dess nyttolast i minnet, för att undvika upptäckt av säkerhetslösningar. Redis-serveransvariga rekommenderas att stänga portar och tillämpa åtkomstbegränsningar för att vara säkra.
Utnyttja Redis-servrar för kryptomining
Nitzan Yaakov och Asaf Eitani från Aqua Security har detaljerade en botnät-kampanj – där en hotaktör distribuerar en ny skadlig programvara som heter HeadCrab mot Redis-servrar. I den här rapporten noterade forskarna att kampanjen har pågått sedan september 2021 och nu har över 1 200 sårbara Redis-servrar infekterade!
Hackarna utnyttjar det faktum att Redis-servrar inte kommer med en standardautentisering – eftersom de är designade för att användas inom en organisations nätverk och inte bör exponeras för internet utan ett betydande syfte.
Men det finns tillfällen då administratörer avslöjar dem av misstag eller gör felaktiga konfigurationer – vilket leder till att hotaktörer utnyttjar dem för deras användning. Samma sak händer i det här fallet, eftersom hotaktörer som utnyttjar de exponerade Redis-servrarna utlöser‘ styr och fjärrstyr dem.
Den här funktionen låter dem också installera HeadCrab – en relativt ny skadlig programvara som installeras i systemminnet på komprometterade servrar. Den raderar alla loggar och kommunicerar endast med servrar som kontrolleras av hackare. Och eftersom dessa är de andra Redis-servrarna i nätverket flaggar säkerhetslösningar ofta inte dem.
Vidare noterade forskare att nyttolasten för den här operationen installerades i filer som endast är minnesvärda, vilket undviker att bli svartlistad av antivirusprogram. Alla dessa komprometterade servrar ansluts sedan till ett botnät för kryptomining: speciellt Monero.
Forskare noterade att Monero-plånboken kopplad till denna botnät-operation visade att varje arbetare tjänade 4 500 USD som årlig vinst – helt enkelt häpnadsväckande jämfört med vanliga intäkter på 200 USD/arbetare i liknande verksamheter.
