Los investigadores de ciberseguridad están llamando la atención sobre múltiples campañas que aprovechan las vulnerabilidades de seguridad conocidas y exponen los servidores Redis a diversas actividades maliciosas, incluida la usufructo de los dispositivos comprometidos como botnets IoT, representantes residenciales o infraestructura minera de criptomonedas.
El primer conjunto de ataques implica la explotación de CVE-2024-36401 (puntaje CVSS: 9.8), una vulnerabilidad de ejecución de código remoto crítico que afecta a Osgeo Geoserver Geotools que se ha armado en ataques cibernéticos desde fines del año pasado.
«Los delincuentes han utilizado la vulnerabilidad para implementar kits de mejora de software (SDK) legítimos o aplicaciones modificadas para obtener ingresos pasivos a través del intercambio de redes o los representantes residenciales», dijeron en un noticia técnico de Palo Detención Networks, dijo en un noticia técnico.
«Este método para crear ingresos pasivos es particularmente sigiloso. Imite una táctica de monetización utilizada por algunos desarrolladores de aplicaciones legítimos que eligen SDK en circunstancia de mostrar anuncios tradicionales. Esta puede ser una opción aceptablemente intencionada que protege la experiencia del sucesor y restablecimiento la retención de aplicaciones».
La compañía de ciberseguridad dijo que los atacantes han estado investigando las instancias de Geoserver expuestas a Internet desde al menos a principios de marzo de 2025, aprovechando el golpe a la caída de ejecutables personalizados de los servidores controlados por adversario. Las cargas avíos se distribuyen a través de una instancia privada de un servidor de intercambio de archivos usando Transfer.Sh, en circunstancia de un servidor web HTTP convencional.
Las aplicaciones utilizadas en la campaña tienen como objetivo fugarse bajo el radar consumiendo posibles mínimos, mientras monetizan sigilosamente el ufano de cuadrilla de Internet de las víctimas sin la exigencia de distribuir malware personalizado. Los binarios, escritos en DART, están diseñados para interactuar con servicios legítimos de ingresos pasivos, discretamente utilizando los posibles del dispositivo para actividades como el intercambio de ufano de cuadrilla.
El enfoque es una situación de ganar-ganar para todas las partes involucradas, ya que los desarrolladores de las aplicaciones reciben pagos a cambio de integrar la función, y los ciberdelincuentes pueden beneficiarse del ufano de cuadrilla no utilizado utilizando un canal aparentemente inocuo que no plantea ninguna bandera roja.
«Una vez ejecutándose, el ejecutable opera de forma ajuste en segundo plano, monitoreando los posibles del dispositivo y compartiendo ilícitamente el ufano de cuadrilla de la víctima siempre que sea posible», dijo la Mecanismo 42. «Esto genera ingresos pasivos para el atacante».
Los datos de telemetría recopilados por la compañía muestran que hubo más de 7.100 instancias de Geoserver expuestas públicamente en 99 países, con China, Estados Unidos, Alemania, Gran Bretaña y Singapur tomando los cinco primeros lugares.
«Esta campaña en curso muestra una cambio significativa en cómo los adversarios monetizan los sistemas comprometidos», dijo la Mecanismo 42. «La táctica central de los atacantes se centra en la monetización sigilosa y persistente en circunstancia de la explotación agresiva de los posibles. Este enfoque favorece la gestación de ingresos a derrochador plazo y de bajo perfil sobre técnicas fácilmente detectables».
La divulgación se produce cuando Censys detalló la columna vertebral de infraestructura que alimenta una botnet IoT a gran escalera emplazamiento Polaredge que comprende los firewalls de categoría empresarial y los dispositivos orientados al consumidor como enrutadores, cámaras IP y teléfonos VoIP al rendir las vulnerabilidades de seguridad conocidas. Actualmente no se conoce su propósito exacto, aunque está claro que la botnet no se está utilizando para la exploración de masa indiscriminada.
Luego se abusa del golpe auténtico para soltar una puerta trasera TLS personalizada basada en TLS MBed que facilita las actualizaciones de comando y control, inocencia de registros y infraestructura dinámicas. La puerta trasera se ha observado comúnmente implementado en puertos altos y no tipificado, probablemente como una forma de evitar los escaneos de red tradicionales y el resonancia de monitoreo defensivo.
Polaredge exhibe rasgos que se alinean con una red de caja de relé operativa (ORB), con la plataforma de dirección de superficie de ataque indicando que hay indicios de que la campaña comenzó a junio de 2023, llegando a unos 40,000 dispositivos activos a partir de este mes. Más del 70% de las infecciones están dispersas por Corea del Sur, Estados Unidos, Hong Kong, Suecia y Canadá.
«Los orbes son nodos de salida comprometidos que se reenvían al tráfico para tolerar a lengua compromisos o ataques adicionales en nombre de los actores de amenazas», dijo la investigadora de seguridad Himaja Motheram. «Lo que hace que las orbes sean tan valiosas para los atacantes es que no necesitan hacerse cargo de la función central del dispositivo: pueden transmitir en silencio el tráfico en segundo plano mientras el dispositivo continúa funcionando normalmente, haciendo que la detección del propietario o ISP sea poco probable».
En los últimos meses, las vulnerabilidades en productos de proveedores como Draytek, TP-Link, Raisecom y Cisco han sido atacados por malos actores para infiltrarse en ellos y desplegar una modificación de Mirai Botnet en código Gayfemboy, lo que sugiere una expansión del resonancia de la orientación.
«La campaña de Gayfemboy zapatilla múltiples países, incluidos Brasil, México, Estados Unidos, Alemania, Francia, Suiza, Israel y Vietnam», dijo Fortinet. «Sus objetivos además cubren una amplia viso de sectores, como fabricación, tecnología, construcción y medios o comunicaciones».
Gayfemboy es capaz de apuntar a diversas arquitecturas del sistema, incluidas ARM, AARCH64, MIPS R3000, PowerPC e Intel 80386. Incorpora cuatro funciones principales –
- Preceptorque rastrea hilos y procesos mientras incorpora técnicas de persistencia y despreocupación de sandbox
- Perro vigilanteque intenta unirse al puerto UDP 47272
- Atacanteque inicia los ataques DDoS utilizando los protocolos UDP, TCP e ICMP, y permite el golpe a la puerta trasera conectando a un servidor remoto para tomar comandos
- Enemigoque se termina si recibe el comando del servidor o detecta la manipulación de sandbox
«Si aceptablemente Gayfemboy hereda los medios estructurales de Mirai, introduce modificaciones notables que mejoran tanto su complejidad como su capacidad para escamotear la detección», dijo el investigador de seguridad Vincent Li. «Esta cambio refleja la creciente sofisticación del malware novedoso y refuerza la exigencia de estrategias de defensa proactivas e impulsadas por la inteligencia».
Los hallazgos además coinciden con una campaña de criptojacking realizada por un actor de amenaza llamado Ta-Natalstatus que apunta a los servidores Redis expuestos para entregar mineros de criptomonedas.
El ataque esencialmente implica escanear para los servidores Redis no autenticados en el puerto 6379, seguido de emitir comandos de configuración legítima, establecer y velar para ejecutar un trabajo de cron sagaz que está diseñado para ejecutar un script de shell que deshabilita Selinux, realiza pasos de despreocupación de defensa, bloquea las conexiones externas al puerto Redis para evitar que los actores de rivales usen la vía de golpe auténtico para ingresar y la competencia de la competencia, y los procesos de la competencia.
Todavía se implementan scripts para instalar herramientas como MassCan o PNSCan, y luego iniciar comandos como «MassCan -Shard» para escanear Internet en investigación de instancias de redis susceptibles. El final paso implica establecer persistencia a través de un trabajo cron por hora y iniciar el proceso minero.
La firma de ciberseguridad Cloudsek dijo que la actividad es una cambio de una campaña de ataque revelada por Trend Micro en abril de 2020, empacando nuevas características para acomodar características similares a RootKit para ocultar procesos maliciosos y alterar las marcas de tiempo de sus archivos para engañar al examen forense.
«Al cambiar el nombre de binarios del sistema como PS y TOP a PS. Llamativo y reemplazándolos con envoltorios maliciosos, filtran su propio malware (httpgd) fuera de la salida. Un administrador que investigación el minero no lo verá usando herramientas tipificado», dijo el investigador Abhishek Mathew. «Cambian el nombre de Curl y Wget a CD1 y WD1. Este es un método simple pero brillante para evitar los productos de seguridad que monitorean descargas maliciosas específicamente iniciadas por estos nombres de herramientas comunes».
