Los investigadores de ciberseguridad están dirigiendo su atención a una nueva campaña de criptojacking de Linux dirigido a los servidores Redis de acceso público.
La actividad maliciosa se llama Redisraider y Codename por Datadog Security Labs.
«Redisraider escanea agresivamente la porción aleatoria del espacio IPv4 y utiliza comandos legítimos de configuración de Redis para ejecutar trabajos cron maliciosos en sistemas vulnerables», dijeron los investigadores de seguridad Matt Muir y Frederic Baguerin.
El objetivo final de la campaña es eliminar la carga útil principal basada en GO, que es responsable de desbloquear mineros XMRIG en sistemas comprometidos.
Esta actividad implica el uso de un escáner a medida para identificar servidores públicos de Redis en Internet y emitir comandos de información para determinar si la instancia se ejecuta en un host de Linux. Si resulta ser cierto, el algoritmo de escaneo explota el comando establecer de Redis para inyectar el trabajo cron.
El malware luego usa el comando de configuración para cambiar el directorio de trabajo Redis a «/etc/cron.d», escribe un archivo de base de datos llamado «Apache» a la ubicación y ejecuta un script de shell que el programador CRON selecciona periódicamente y está codificado con Base64.
La carga útil esencialmente actúa como un gotero para una versión a medida de XMRIG, propagando malware a otras instancias de Redis, ampliando efectivamente su alcance y escala.
«Además del criptojacking del lado del servidor, la infraestructura de Redisraider también alojó Monero Miner basado en la web, permitiendo una estrategia de generación de ingresos multifacética», dijo el investigador.
«La campaña incorpora mediciones anti-ricas sutiles, como la configuración de tiempo a tiempo corto (TTL) y los cambios de configuración de la base de datos, minimizando la detección y obstaculizando el análisis post-hoc».
Esta divulgación ocurre cuando Guardz revela los detalles de una campaña objetivo que utiliza el protocolo de autenticación heredado para Microsoft Entra IDS para cuentas de fuerza bruta. Se ha encontrado que las actividades observadas entre el 18 de marzo y el 7 de abril de 2025 utilizan BAV2OPC (abreviatura de «Autenticación básica versión 2 – Calificación de contraseña del propietario de los recursos») para evitar defensas como la autenticación multifactor (MFA) y el acceso condicional.
«El seguimiento y la investigación revelan intentos sistemáticos de explotación que utilizan las restricciones de diseño inherentes de BAV2ROPC que van más allá de las arquitecturas de seguridad modernas», dijo Elli Shlomo, jefe de investigación de seguridad de Guardz. «Los actores de amenaza detrás de esta campaña han mostrado una comprensión profunda del sistema de identidad».
Se dice que los ataques se originaron principalmente en Europa del Este y la región de Asia-Pacífico, y están dirigidos principalmente a las cuentas de administrador utilizando puntos finales de autenticación heredados.
«Aunque los usuarios normales recibieron la mayoría de los intentos de autenticación (50,214), las cuentas de administración y los buzones compartidos apuntan a un patrón específico, con cuentas de administración que toman 9,847 intentos con 432 IP en ocho horas, lo que sugiere un promedio de 22.79 intentos y 1,230.87 intentos por IP», dijo la compañía.
«Esto ilustra una campaña de ataque altamente automatizada y concentrada diseñada específicamente para comprometer las cuentas privilegiadas mientras se mantiene una superficie de ataque más amplia contra los usuarios normales».
Esta no es la primera vez que se han abusado de los protocolos heredados debido a actividades maliciosas. En 2021, Microsoft reveló una campaña masiva de compromiso de correo electrónico comercial (BEC) que utiliza BAV2ROPC e IMAP/POP3 para evitar MFA y eliminar los datos de correo electrónico.
Para mitigar el riesgo planteado por tales ataques, recomendamos bloquear la autenticación heredada a través de políticas de acceso condicional, deshabilitar BAV2OPC y desactivar la autenticación SMTP con intercambios en línea si no está en uso.
Source link
