サイバーセキュリティ研究者たちは、公開されているRedisサーバーを標的とした新しいLinux暗号通貨マイニングキャンペーンに注目しています。
この悪意のある活動は、Datadog Security LabsによってRedisRaiderと命名されました。
“RedisRaiderはIPv4空間のランダムな部分を積極的にスキャンし、脆弱なシステム上で悪意のあるcronジョブを実行するために正当なRedis設定コマンドを使用します”と、セキュリティ研究者のMatt MuirとFrederic Baguelinは述べました。
このキャンペーンの最終的な目標は、侵害されたシステム上でXMRigマイナーを解放する責任を持つGoベースの主要なペイロードを投入することです。
この活動には、インターネット上の公開されているRedisサーバーを特定するための特注スキャナーを使用し、インスタンスがLinuxホスト上で動作しているかどうかを判断するためにINFOコマンドを発行することが含まれます。もしそうであると判明した場合、スキャンアルゴリズムはRedisのSETコマンドを悪用してcronジョブを注入します。
その後、マルウェアはCONFIGコマンドを使用してRedisの作業ディレクトリを”/etc/cron.d”に変更し、場所に”apache”という名前のデータベースファイルを書き込み、cronスケジューラによって定期的にピックアップされ、Base64でエンコードされたシェルスクリプトを実行し、その後リモートサーバーからRedisRaiderバイナリをダウンロードします。
ペイロードは本質的に特注版のXMRigのドロッパーとして機能し、他のRedisインスタンスにもマルウェアを拡散し、その範囲と規模を効果的に拡大します。
“サーバーサイドの暗号通貨マイニングに加えて、RedisRaiderのインフラストラクチャはウェブベースのMoneroマイナーもホストしており、多面的な収益生成戦略を可能にしています”と研究者たちは述べました。
“このキャンペーンは、短いキーの有効期限(TTL)設定やデータベース設定の変更など、微妙なアンチフォレンジック対策を組み込んでおり、検出を最小限に抑え、インシデント後の分析を妨げます。”と述べています。
この開示は、GuardzがMicrosoft Entra IDのレガシー認証プロトコルを悪用してアカウントをブルートフォースする標的型キャンペーンの詳細を開示した際に行われました。この活動は、2025年3月18日から4月7日までの間に観察され、BAV2ROPC(”Basic Authentication Version 2 – Resource Owner Password Credential”の略)を利用して、多要素認証(MFA)や条件付きアクセスなどの防御を回避しています。
“追跡と調査により、BAV2ROPCの設計上の制限を利用した体系的な悪用試行が明らかになりました。これは現代のセキュリティアーキテクチャに先行するものです”と、Guardzのセキュリティ研究責任者Elli Shlomoは述べました。”このキャンペーンの背後にいる脅威アクターは、アイデンティティシステムに対する深い理解を示しました。”と述べています。
攻撃は主に東ヨーロッパとアジア太平洋地域から発信され、主にレガシー認証エンドポイントを使用して管理者アカウントを標的にしています。
“通常のユーザーが認証試行の大部分(50,214件)を受けた一方で、管理者アカウントと共有メールボックスは特定のパターンで標的にされ、管理者アカウントは432のIPアドレスにわたって8時間で9,847件の試行を受け、IPごとに平均22.79件の試行、1時間あたり1,230.87件の速度を示しています”と会社は述べています。
“これは、特権アカウントを侵害するために特別に設計された高度に自動化された集中攻撃キャンペーンを示しており、通常のユーザーに対しても広範な攻撃面を維持しています。”と述べています。
レガシープロトコルが悪意のある活動に悪用されたのはこれが初めてではありません。2021年には、MicrosoftがBAV2ROPCとIMAP/POP3を使用してMFAを回避し、メールデータを流出させる大規模なビジネスメール詐欺(BEC)キャンペーンを明らかにしました。
このような攻撃によるリスクを軽減するためには、条件付きアクセスポリシーを通じてレガシー認証をブロックし、BAV2ROPCを無効にし、使用していない場合はExchange OnlineでSMTP AUTHをオフにすることが推奨されます。
翻訳元: https://thehackernews.com/2025/05/go-based-malware-deploys-xmrig-miner-on.html