Аналитический центр AhnLab SEcurity (ASEC) обнаружил, что бэкдор Metasploit Meterpreter установлен через службу Redis. Злоумышленники используют несоответствующие настройки или выполняют команды через атаки на уязвимости для установки вредоносного ПО. Redis - это открытое хранилище структур данных в памяти, которое также используется в качестве базы данных. Он используется для управления сессиями, брокером сообщений и очередей. Известные вредоносные программы, которые атакуют службу Redis, включают Kinsing, P2PInfect, Skidmap, Migo и HeadCrab.
В этой конкретной атаке была использована уязвимая версия Redis 3.x на системе Windows. Сначала угрожающий агент установил инструмент PrintSpoofer для повышения привилегий, используя команду PowerShell "invoke-webrequest". Затем он установил вредоносное ПО Stager от Metasploit, которое является бэкдором для выполнения вредоносных действий. Stager был создан методом обратного TCP и загружен с C&C-сервера. После установки Metasploit агент угрозы получает контроль над зараженной системой.
Атаки на службу Redis стали частыми в последнее время. Поскольку Redis используется во многих системах по всему миру, он является привлекательной мишенью для злоумышленников. В связи с этим необходимо обновлять сервер Redis и предотвращать использование известных уязвимостей.
Indicators of Compromise
IPv4 Port Combinations
- 34.124.148.215:9070
URLs
- http://35.185.187.24/PrintSpoofer.exe
- http://35.185.187.24/ps.exe
- http://35.185.187.24/meteran.exe
MD5
- b26b57b28e61f9320cc42d97428f3806
- cff64cc3e82aebd7a7e81f1633b5040e
- dbdcbacbc74b139d914747690ebe0e1c