20.05.2025
1 хв
614
Дослідники з Datadog Security Labs виявили RedisRaider — масовану операцію сканування IPv4-простору, метою якої є зловживання налаштуваннями Redis. Завданням є розгортання майнера XMRig та подальше саморозповсюдження шкідливого ПЗ.
RedisRaider використовує Redis-команди (`CONFIG`, SET`) для додавання `cron`-завдань у `/etc/cron.d, які завантажують Go-зловмисника з віддаленого сервера. Після цього заражені хости запускають майнер Monero (XMRig), при цьому бот розповсюджується далі на інші Redis-інстанси. Кампанія використовує прийоми приховування: TTL-ключі, зміни конфігурацій та мінімізацію логів.
RedisRaider — не перший приклад криптоджекінгу через незахищені Redis. Redis, популярна NoSQL-база даних, неодноразово ставала вектором атак, зокрема, якщо порти відкриті без аутентифікації. Водночас Guardz звітує про атаку на Microsoft Entra ID через BAV2ROPC, що дозволяє обійти MFA — показник системного зловживання застарілими протоколами.
RedisRaider демонструє, що навіть легітимні функції можуть бути використані як зброя. Вразливі Redis-сервери перетворюються на точку входу для криптоджекінгу та подальших атак. Варто негайно закрити відкриті Redis, обмежити доступ за допомогою фаєрволу, здійснювати моніторинг cron та заборонити запис у `/etc/cron.d.
