Pesquisadores de cibersegurança estão chamando a atenção para uma nova campanha de cryptojacking no Linux que tem como alvo servidores Redis acessíveis publicamente.
A atividade maliciosa foi apelidada de RedisRaider pelos Datadog Security Labs.
"RedisRaider escaneia agressivamente porções randômicas do espaço IPv4 e usa comandos de configuração Redis legítimos para executar tarefas cron maliciosas em sistemas vulneráveis," disseram os pesquisadores de segurança Matt Muir e Frederic Baguelin.
O objetivo final da campanha é disseminar um payload primário baseado em Go responsável por liberar um minerador XMRig nos sistemas comprometidos.
A atividade envolve o uso de um scanner personalizado para identificar servidores Redis acessíveis publicamente pela internet e, em seguida, emitir um comando INFO para determinar se as instâncias estão rodando em um host Linux.
Se for o caso, o algoritmo de scan avança para abusar do comando SET do Redis para injetar um trabalho cron.
O malware então usa o comando CONFIG para mudar o diretório de trabalho do Redis para "/etc/cron.d" e escrever no local um arquivo de banco de dados chamado "apache", para que seja periodicamente escolhido pelo agendador cron e execute um script shell codificado em Base64, que subsequentemente baixa o binário RedisRaider de um servidor remoto.
O payload essencialmente serve como um meio para disseminar uma versão personalizada do XMRig e também propaga o malware para outras instâncias do Redis, expandindo efetivamente seu alcance e escala.
"Além do cryptojacking do lado do servidor, a infraestrutura do RedisRaider também hospedou um minerador de Monero baseado na web, possibilitando uma estratégia de geração de receita multi-facetada," os pesquisadores disseram.
A campanha incorpora medidas anti-forenses sutis, como configurações de tempo de vida (TTL) de chave curta e mudanças de configuração de banco de dados, para minimizar a detecção e dificultar a análise pós-incidente.
A divulgação ocorre ao mesmo tempo em que a Guardz revelou detalhes de uma campanha direcionada explorando protocolos de autenticação legados no Microsoft Entra ID para forçar a entrada em contas.
A atividade, observada entre 18 de março e 7 de abril de 2025, foi encontrada para aproveitar o BAV2ROPC (abreviação para "Basic Authentication Version 2 - Resource Owner Password Credential") para contornar defesas como autenticação multi-fator (MFA) e Acesso Condicional.
"O rastreamento e investigação revelaram tentativas sistemáticas de exploração que se aproveitavam das limitações de design inerentes ao BAV2ROPC, que antecedem as arquiteturas de segurança contemporâneas," Elli Shlomo, chefe de pesquisa de segurança na Guardz, disse.
"Os atores de ameaças por trás dessa campanha mostraram um entendimento profundo dos sistemas de identidade." Os ataques teriam se originado principalmente da Europa Oriental e das regiões da Ásia-Pacífico, visando principalmente contas de administração usando endpoints de autenticação legados.
"Enquanto usuários regulares receberam a maior parte das tentativas de autenticação (50.214), contas de administrador e caixas de correio compartilhadas foram visadas em um padrão específico, com contas de administrador recebendo 9.847 tentativas através de 432 IPs em 8 horas, sugerindo uma média de 22,79 tentativas por IP e uma velocidade de 1.230,87 tentativas por hora," a empresa disse.
Isto indica uma campanha de ataque altamente automatizada e concentrada especificamente projetada para comprometer contas privilegiadas enquanto mantém uma superfície de ataque mais ampla contra usuários regulares. Esta não é a primeira vez que protocolos legados foram abusados para atividades maliciosas.
Em 2021, a Microsoft divulgou uma campanha de comprometimento de e-mail empresarial (BEC) em larga escala que usou BAV2ROPC e IMAP/POP3 para contornar MFA e exfiltrar dados de e-mail.
Para mitigar os riscos apresentados por tais ataques, aconselha-se bloquear a autenticação legada via política de Acesso Condicional, desativar BAV2ROPC e desligar o SMTP AUTH no Exchange Online se não estiver em uso.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...