基于Go语言的恶意软件通过Redis配置滥用向Linux主机部署XMRig挖矿程序

网络安全研究人员近日发现针对公开Redis服务器的新型Linux加密货币挖矿攻击活动，该活动被Datadog安全实验室命名为RedisRaider。

攻击手法分析

安全研究人员Matt Muir与Frederic Baguelin指出："RedisRaider会主动扫描随机IPv4地址段，利用合法的Redis配置命令在易受攻击系统上执行恶意定时任务（cron jobs）"。攻击最终会投放基于Go语言编写的主载荷，用于在受感染系统部署XMRig挖矿程序。

攻击者首先使用定制扫描器识别互联网上公开的Redis服务器，然后发送INFO命令确认实例是否运行在Linux主机。确认目标后，扫描算法会滥用Redis的SET命令注入定时任务。

载荷传播机制

恶意软件随后使用CONFIG命令将Redis工作目录更改为"/etc/cron.d"，并写入名为"apache"的数据库文件。该文件会被定时任务调度器定期执行，运行Base64编码的Shell脚本，从远程服务器下载RedisRaider二进制文件。

该载荷实质上是定制版XMRig的投放器，同时会将恶意软件传播到其他Redis实例，有效扩大攻击范围。"除了服务器端加密货币劫持，RedisRaider的基础设施还托管基于Web的Monero挖矿程序，形成多管齐下的盈利策略。"研究人员表示。

反取证技术

"该攻击活动采用精妙的反取证措施，如设置短密钥生存时间（TTL）和修改数据库配置，以降低检测概率并阻碍事后分析。"

相关威胁动态

此事件披露之际，Guardz曝光了利用Microsoft Entra ID旧版认证协议实施定向攻击的活动细节。2025年3月18日至4月7日期间，攻击者利用BAV2ROPC（"基础认证第二版-资源所有者密码凭证"缩写）绕过多因素认证（MFA）和条件访问等防御措施。

Guardz安全研究主管Elli Shlomo表示："追踪调查显示，攻击者系统性地利用了BAV2ROPC固有的设计缺陷，这些缺陷早于现代安全架构。幕后黑手展现出对身份认证系统的深刻理解。"

攻击特征分析

攻击主要源自东欧和亚太地区，重点针对使用旧版认证端点的管理员账户。"虽然普通用户收到50,214次认证尝试，但管理员账户和共享邮箱呈现特定攻击模式——432个IP在8小时内对管理员账户发起9,847次尝试，平均每个IP尝试22.79次，攻击频率达每小时1,230.87次。"

"这表明这是高度自动化、针对特权账户的集中攻击，同时保持对普通用户的广泛攻击面。"

历史背景与防御建议

这并非旧版协议首次被恶意利用。2021年微软曾披露大规模商业邮件入侵（BEC）活动，攻击者使用BAV2ROPC和IMAP/POP3绕过MFA窃取邮件数据。

为降低此类攻击风险，建议通过条件访问策略阻止旧版认证、禁用BAV2ROPC，如无必要应关闭Exchange Online中的SMTP AUTH功能。