استقرار بدافزار مبتنی بر Go توسط ماینر XMRig از طریق بهره‌برداری از پیکربندی Redis روی میزبان‌های لینوکس

محققان امنیت سایبری توجه‌ها را به یک کمپین جدید سرقت ارز دیجیتال لینوکس که سرورهای Redis با دسترسی عمومی را هدف قرار می‌دهد، جلب می‌کنند.

این فعالیت مخرب توسط آزمایشگاه‌های امنیتی Datadog با نام رمز RedisRaider نام‌گذاری شده است.

مت مویر و فردریک باگلین، محققان امنیتی، گفتند[۱]: “RedisRaider به طور تهاجمی بخش‌های تصادفی از فضای IPv4 را اسکن می‌کند و از دستورات پیکربندی مشروع Redis برای اجرای cron jobsهای مخرب در سیستم‌های آسیب‌پذیر استفاده می‌کند.”

هدف نهایی این کمپین، رهاکردن یک payload اصلی مبتنی بر Go است که مسئول آزادکردن یک استخراج‌کننده XMRig در سیستم‌های آسیب‌پذیر است.

این فعالیت مستلزم استفاده از یک اسکنر سفارشی برای شناسایی سرورهای Redis با دسترسی عمومی در سراسر اینترنت و سپس صدور یک دستور INFO برای تعیین اینکه آیا این نمونه‌ها روی یک میزبان لینوکس در حال اجرا هستند یا خیر، است. در صورت تشخیص، الگوریتم اسکن از دستور SET Redis برای تزریق یک cron job بهره‌برداری می‌کند.

سپس این بدافزار از دستور CONFIG برای تغییر دایرکتوری کاری Redis به “/etc/cron.d” استفاده می‌کند و یک فایل پایگاه‌داده[۲] به نام “apache” را در آن مکان می‌نویسد تا به‌صورت دوره‌ای توسط برنامه‌ریز cron انتخاب شده و یک اسکریپت shell کدگذاری شده با Base64 را اجرا کند که متعاقباً فایل باینری RedisRaider را از یک سرور از راه دور دانلود می‌کند.

این payload اساساً به‌عنوان یک dropper برای یک نسخه سفارشی از XMRig عمل می‌کند و همچنین این بدافزار را به سایر نمونه‌های Redis منتشر می‌کند و به طور مؤثر دامنه و مقیاس آن را گسترش می‌دهد.

محققان گفتند: “علاوه بر رمزنگاری سمت سرور، زیرساخت RedisRaider همچنین میزبان یک استخراج‌کننده Monero مبتنی بر وب بود که یک استراتژی تولید درآمد چندجانبه را امکان‌پذیر می‌کرد.”

این کمپین شامل اقدامات ضد پزشکی قانونی ظریفی مانند تنظیمات زمان زنده‌ماندن (TTL) کلید کوتاه و تغییرات پیکربندی پایگاه‌داده است تا تشخیص را به حداقل برساند و مانع تجزیه‌وتحلیل پس از حادثه شود.

این افشاگری در حالی صورت می‌گیرد که Guardz جزئیات یک کمپین هدفمند را که از پروتکل‌های احراز هویت قدیمی در Microsoft Entra ID برای حمله جستجوی فراگیر (brute-force) به حساب‌های کاربری بهره‌برداری می‌کند، فاش کرد. این فعالیت که بین ۱۸ مارس و ۷ آوریل ۲۰۲۵ مشاهده شده است، نشان می‌دهد که از [۳]BAV2ROPC (مخفف “Basic Authentication Version 2 – Resource Owner Password Credential”) برای دورزدن دفاع‌هایی مانند احراز هویت چندعاملی (MFA) و دسترسی مشروط استفاده می‌کند.

الی شلومو، رئیس تحقیقات امنیتی Guardz، گفت[۴]: “ردیابی و تحقیقات، تلاش‌های بهره‌برداری سیستماتیکی را نشان داد که از محدودیت‌های طراحی ذاتی BAV2ROPC، که پیش از معماری‌های امنیتی معاصر وجود داشتند، استفاده می‌کردند. عوامل تهدید پشت این کمپین، درک عمیقی از سیستم‌های هویتی نشان دادند.”

گفته می‌شود که این حملات عمدتاً از اروپای شرقی و مناطق آسیا و اقیانوسیه سرچشمه گرفته‌اند و در درجه اول حساب‌های مدیریتی را با استفاده از نقاط پایانی احراز هویت قدیمی هدف قرار می‌دهند. این شرکت اعلام کرد: «درحالی‌که کاربران عادی بخش عمده‌ای از تلاش‌های احراز هویت (۵۰۲۱۴) را دریافت کردند، حساب‌های کاربری ادمین و صندوق‌های پستی مشترک با الگوی خاصی هدف قرار گرفتند، به‌طوری‌که حساب‌های کاربری ادمین در طول ۸ ساعت، ۹۸۴۷ تلاش را در ۴۳۲ IP دریافت کردند که به طور متوسط ​​۲۲.۷۹ تلاش برای هر IP و سرعت ۱۲۳۰.۸۷ تلاش در ساعت را نشان می‌دهد.»

«این نشان‌دهنده یک کمپین حمله بسیار خودکار و متمرکز است که به طور خاص برای به خطر انداختن حساب‌های کاربری ممتاز طراحی شده است، درحالی‌که سطح حمله گسترده‌تری را علیه کاربران عادی حفظ می‌کند.»

این اولین باری نیست که پروتکل‌های قدیمی برای فعالیت‌های مخرب مورد بهره‌برداری قرار می‌گیرند. در سال ۲۰۲۱، مایکروسافت یک کمپین بزرگ نفوذ به ایمیل‌های تجاری (BEC) را افشا کرد[۵] که از BAV2ROPC و IMAP/POP3 برای دورزدن MFA و استخراج داده‌های ایمیل استفاده می‌کرد.

برای کاهش خطرات ناشی از چنین حملاتی، توصیه می‌شود احراز هویت قدیمی را از طریق یک سیاست دسترسی مشروط مسدود کنید، BAV2ROPC را غیرفعال کنید و در صورت عدم استفاده، SMTP AUTH را در Exchange Online خاموش کنید.

منابع

[۱] https://securitylabs.datadoghq.com/articles/redisraider-weaponizing-misconfigured-redis

[۲] https://redis.io/learn/operate/redis-at-scale/persistence-and-durability/persistence-options-in-redis

[۳] https://redcanary.com/blog/threat-detection/bav2ropc

[۴] https://guardz.com/blog/the-legacy-loophole-how-attackers-are-exploiting-entra-id-and-what-to-do-about-it

[۵] https://www.microsoft.com/en-us/security/blog/2021/06/14/behind-the-scenes-of-business-email-compromise-using-cross-domain-threat-data-to-disrupt-a-large-bec-infrastructure

[۶] https://thehackernews.com/2025/05/go-based-malware-deploys-xmrig-miner-on.html