Server database Redis yang salah dikonfigurasi adalah target kampanye cryptojacking baru yang memanfaatkan layanan transfer file baris perintah yang sah dan open source untuk mengimplementasikan serangannya.
"Yang mendasari kampanye ini adalah penggunaan transfer[.] sh," kata Cado Security dalam sebuah laporan yang dibagikan dengan The Hacker News. "Ada kemungkinan bahwa ini adalah upaya untuk menghindari deteksi berdasarkan domain hosting kode umum lainnya (seperti pastebin[.] com)."
Perusahaan keamanan siber cloud mengatakan interaktivitas baris perintah terkait dengan transfer[.] sh telah menjadikannya alat yang ideal untuk hosting dan mengirimkan muatan berbahaya.
Rantai serangan dimulai dengan menargetkan penyebaran Redis yang tidak aman, diikuti dengan mendaftarkan pekerjaan cron yang mengarah ke eksekusi kode sewenang-wenang ketika diurai oleh penjadwal. Pekerjaan ini dirancang untuk mengambil muatan yang dihosting saat transfer[.] .sh.
Perlu dicatat bahwa mekanisme serangan serupa telah digunakan oleh aktor ancaman lain seperti TeamTNT dan WatchDog dalam operasi cryptojacking mereka.
Payload adalah skrip yang membuka jalan bagi penambang cryptocurrency XMRig, tetapi tidak sebelum mengambil langkah persiapan untuk membebaskan memori, menghentikan penambang yang bersaing, dan menginstal utilitas pemindai jaringan yang disebut pnscan untuk menemukan server Redis yang rentan dan menyebarkan infeksi.
"Meskipun jelas bahwa tujuan dari kampanye ini adalah untuk membajak sumber daya sistem untuk menambang cryptocurrency, infeksi oleh malware ini dapat memiliki efek yang tidak diinginkan," kata perusahaan itu. "Konfigurasi sistem manajemen memori Linux yang sembrono dapat dengan mudah mengakibatkan kerusakan data atau hilangnya ketersediaan sistem."
Perkembangan ini menjadikannya ancaman terbaru untuk menyerang server Redis setelah Redigo dan HeadCrab dalam beberapa bulan terakhir.
Temuan ini juga muncul ketika Avertium mengungkapkan serangkaian serangan baru di mana server SSH dipaksa untuk menyebarkan malware botnet XorDdos pada server yang disusupi dengan tujuan meluncurkan serangan distributed denial-of-service (DDoS) terhadap target yang berlokasi di China dan AS.
