كشف باحثو الأمن السيبراني عن حملة جديدة لتعدين العملات الرقمية تستهدف خوادم Redis المكشوفة على الإنترنت، حيث تقوم بحقن شيفرات خبيثة لتنزيل وتشغيل مُعدّن XMRig على الأنظمة المُصابة.
كيف تعمل الحملة؟
أطلق الباحثون في Datadog Security Labs على هذه الحملة اسم RedisRaider، حيث تقوم بما يلي:
مسح عشوائي لنطاقات IPv4 للعثور على خوادم Redis مكشوفة.
استغلال أوامر تكوين Redis (مثل SET وCONFIG) لحقن مهام cron ضارة.
تغيير دليل عمل Redis إلى /etc/cron.d وإنشاء ملف قاعدة بيانات باسم apache لتنزيل وتنفيذ شيفرة خبيثة.
-
تنزيل حملة خبيثة مكتوبة بلغة Go تقوم بـ:
-
نشر إصدار مخصص من XMRig لتعدين عملة Monero.
-
توسيع نطاق الهجوم عبر إصابة خوادم Redis أخرى.
-
إجراءات التخفي وتعقيد الهجوم
-
تستخدم الحملة إعدادات TTL قصيرة (Time-To-Live) لتجنب الكشف.
-
تستضيف البنية التحتية للهجوم أيضًا مُعدّن ويب Monero لزيادة أرباح المهاجمين.
-
تُظهر الحملة فهمًا متقدمًا لأنظمة Redis، مما يجعلها أكثر خطورة.
هجوم آخر يستغل أنظمة المصادقة القديمة في Microsoft Entra ID
في سياق متصل، كشفت Guardz عن هجوم يستغل بروتوكولات مصادقة قديمة في Microsoft Entra ID (سابقًا Azure AD) لاختراق الحسابات عبر:
-
استغلال ثغرة BAV2ROPC (اختصارًا لـ Basic Authentication Version 2 – Resource Owner Password Credential) لتجاوز المصادقة متعددة العوامل (MFA).
-
استهداف حسابات المسؤولين بشكل مكثف، مع 9,847 محاولة اختراق خلال 8 ساعات.
-
تنفيذ هجمات Brute-Force من مناطق أوروبا الشرقية وآسيا والمحيط الهادئ.
كيف تحمي نفسك؟
-
أغلق الوصول إلى Redis من الإنترنت أو قيده بعناية.
-
عطّل المصادقة القديمة في Microsoft Entra ID عبر سياسات Conditional Access.
-
أوقف تشغيل BAV2ROPC وSMTP AUTH إذا لم تكن ضرورية.
-
راقب أنشطة cron غير المعتادة على خوادم Linux.
هذه الهجمات تظهر تطورًا مستمرًا في أساليب القراصنة، مما يتطلب تحديثًا دائمًا لإجراءات الأمن السيبراني.
