网络安全研究人员近日发现针对公开Redis服务器的新型Linux加密货币挖矿攻击活动,该活动被Datadog安全实验室命名为RedisRaider。
攻击手法分析
安全研究人员Matt Muir与Frederic Baguelin指出:"RedisRaider会主动扫描随机IPv4地址段,利用合法的Redis配置命令在易受攻击系统上执行恶意定时任务(cron jobs)"。攻击最终会投放基于Go语言编写的主载荷,用于在受感染系统部署XMRig挖矿程序。
攻击者首先使用定制扫描器识别互联网上公开的Redis服务器,然后发送INFO命令确认实例是否运行在Linux主机。确认目标后,扫描算法会滥用Redis的SET命令注入定时任务。
载荷传播机制
恶意软件随后使用CONFIG命令将Redis工作目录更改为"/etc/cron.d",并写入名为"apache"的数据库文件。该文件会被定时任务调度器定期执行,运行Base64编码的Shell脚本,从远程服务器下载RedisRaider二进制文件。
该载荷实质上是定制版XMRig的投放器,同时会将恶意软件传播到其他Redis实例,有效扩大攻击范围。"除了服务器端加密货币劫持,RedisRaider的基础设施还托管基于Web的Monero挖矿程序,形成多管齐下的盈利策略。"研究人员表示。
反取证技术
"该攻击活动采用精妙的反取证措施,如设置短密钥生存时间(TTL)和修改数据库配置,以降低检测概率并阻碍事后分析。"
相关威胁动态
此事件披露之际,Guardz曝光了利用Microsoft Entra ID旧版认证协议实施定向攻击的活动细节。2025年3月18日至4月7日期间,攻击者利用BAV2ROPC("基础认证第二版-资源所有者密码凭证"缩写)绕过多因素认证(MFA)和条件访问等防御措施。
Guardz安全研究主管Elli Shlomo表示:"追踪调查显示,攻击者系统性地利用了BAV2ROPC固有的设计缺陷,这些缺陷早于现代安全架构。幕后黑手展现出对身份认证系统的深刻理解。"
攻击特征分析
攻击主要源自东欧和亚太地区,重点针对使用旧版认证端点的管理员账户。"虽然普通用户收到50,214次认证尝试,但管理员账户和共享邮箱呈现特定攻击模式------432个IP在8小时内对管理员账户发起9,847次尝试,平均每个IP尝试22.79次,攻击频率达每小时1,230.87次。"
"这表明这是高度自动化、针对特权账户的集中攻击,同时保持对普通用户的广泛攻击面。"
历史背景与防御建议
这并非旧版协议首次被恶意利用。2021年微软曾披露大规模商业邮件入侵(BEC)活动,攻击者使用BAV2ROPC和IMAP/POP3绕过MFA窃取邮件数据。
为降低此类攻击风险,建议通过条件访问策略阻止旧版认证、禁用BAV2ROPC,如无必要应关闭Exchange Online中的SMTP AUTH功能。