محققان امنیت سایبری کمپین جدید سرقت رمز ارز لینوکس را مشاهده کردهاند که سرورهای Redis با دسترسی عمومی را هدف قرار میدهد.
این فعالیت مخرب توسط آزمایشگاههای امنیتی Datadog تحت عنوان RedisRaider نامگذاری شده است. RedisRaider به طور تهاجمی با اسکن بخشهای تصادفی از فضای IPv4، از دستورات پیکربندی قانونی Redis برای اجرای cron jobsهای مخرب در سیستمهای آسیبپذیر استفاده میکند. هدف نهایی این کمپین، دراپ کردن پیلود اصلی مبتنی بر Go است که مسئول تحویل ماینر XMRig در سیستمهای آسیبپذیر است. این فعالیت مستلزم استفاده از اسکنر سفارشی برای شناسایی سرورهای Redis با دسترسی عمومی در سراسر اینترنت است و سپس صدور دستور INFO برای تعیین اینکه آیا این نمونهها روی میزبان لینوکس در حال اجرا هستند یا خیر. پیلود داده اصلی مبتنی بر Go در RedisRaider به شدت مبهمسازی شده است و نسخه بستهبندی شده از یک ماینر XMRig را در خود جای داده است که آن را در زمان اجرا از حالت پک شده خارج و مستقر میکند. علاوه بر رمزنگاری سمت سرور، زیرساخت RedisRaider همچنین میزبان یک ماینر Monero مبتنی بر وب بود که استراتژی تولید درآمد چند جانبه را امکانپذیر میکرد. این کمپین شامل اقدامات ضد فارنزیک مانند تنظیمات کلید کوتاه time-to-live (TTL) و تغییرات پیکربندی پایگاه داده است تا تشخیص را به حداقل برساند و مانع تجزیه و تحلیل پس از حادثه شود.
https://thehackernews.com/2025/05/go-based-malware-deploys-xmrig-miner-on.html
