Linux Üzerindeki Yeni Cryptojacking Tehdidi: RedisRaider
Son dönemde siber güvenlik uzmanları, Linux tabanlı sunucuları hedef alan yeni bir cryptojacking kampanyasına dikkat çekiyor. Bu kampanya, Datadog Güvenlik Laboratuvarları tarafından RedisRaider ismiyle anılmaktadır. Bu tür tehditler, sunucular üzerindeki kötü amaçlı yazılımların yayılmasına ve kritik verilerin tehlikeye atılmasına yol açmaktadır.
RedisRaider’ın İşleyişi
RedisRaider, IPv4 alanının rastgele bölgelerini tarayarak, internetteki herkese açık Redis sunucularını belirlemek amacıyla tasarlanmış bir tarayıcı kullanmaktadır. Güvenlik araştırmacıları, bu kampanyanın temel amacının Go tabanlı bir ana yük bırakmak olduğunu belirtmektedir. Bu ana yük, ele geçirilen sistemlerde bir XMRig madencisi başlatmak için kullanılmaktadır.
Kampanya, Redis’in INFO komutunu kullanarak, belirli sistemlerin Linux üzerinde çalışıp çalışmadığını kontrol eder. Eğer bu belirleme olumlu sonuçlanırsa, Redis’in SET komutu kullanılarak bir cron işinin enjekte edilmesi sağlanır. Bu kötü amaçlı yazılım, Redis’in çalışma dizinini "/etc/cron.d" şeklinde değiştirerek, burada "apache" adında bir veritabanı dosyası oluşturur. Bu dosya, belirli sürelerle cron zamanlayıcısı tarafından çalıştırılacaktır. Ardından, bir Base64 kodlu kabuk scripti çalıştırarak RedisRaider binary’sini uzaktan indirir.
Yayılma ve Gelir Modeli
RedisRaider, sadece sunucu tarafında cryptojacking değil, aynı zamanda web tabanlı bir Monero madencisinin de barındırdığı bir altyapıya sahiptir. Bu durum, kampanyanın gelir elde etme stratejisini çok yönlü hale getirmektedir. Kötü amaçlı yazılım, diğer Redis sunucularına yayılma yeteneği ile etki alanını genişletmektedir. Araştırmacılara göre, bu kampanya, gizli anti-forensics önlemleri içermektedir. Örneğin, kısa anahtar yaşam süreleri (TTL) ve veritabanı yapılandırması değişiklikleri gibi önlemler, keşfi en aza indirgemek ve olay sonrası analizleri zorlaştırmak amacıyla tasarlanmıştır.
Microsoft Entra ID Üzerindeki Saldırılar
RedisRaider’ın açıklanmasının hemen ardından, Guardz, Microsoft Entra ID’yi hedef alan başka bir kampanya hakkında bilgi vermiştir. Bu kampanya, eski kimlik doğrulama protokolleri kullanarak hesapları brute-force saldırılarına maruz bırakmaktadır. Mart 2025 boyunca gözlemlenen bu faaliyet, BAV2ROPC protokolünü kullanarak çok faktörlü kimlik doğrulama (MFA) ve Koşullu Erişim gibi savunmaların üzerinden geçmektedir.
Guardz, bu saldırıların öncelikle Doğu Avrupa ve Asya-Pasifik bölgelerinden kaynaklandığını belirtmiştir. Saldırılar, yönetici hesaplarını hedef alarak tasarlanmıştır. Yapılan analizde, yönetici hesaplarına yönelik 9,847 saldırı girişiminin 432 IP üzerinden yapıldığı tespit edilmiştir. Bu, her IP başına ortalama 22.79 saldırı girişimi ve saatte 1,230.87 saldırı hızı olarak kaydedilmiştir.
Tehditlerin Önlenmesi için Önlemler
Bu tür tehditlere karşı önlem almak, kurumların siber güvenliklerini güçlendirmenin en önemli yollarından biridir. Legacy authentication (eski kimlik doğrulama) protokollerini devre dışı bırakmak önemlidir. Bunun yanı sıra, Conditional Access politikaları kullanarak bu protokollerin kullanımını sınırlamak, BAV2ROPC’yi devre dışı bırakmak ve Exchange Online’da SMTP AUTH’u kapatmak gereklidir.
Bilinen bir başka örnek, 2021 yılında Microsoft’un açıkladığı geniş ölçekli iş e-postası tehlikesidir. Bu tehdit, BAV2ROPC ve IMAP/POP3 protokollerini kullanılarak MFA’yı aşarak e-posta verilerini ele geçirmeyi hedeflemiştir.
Sonuç Olarak
Bu tür siber saldırılar, siber güvenlik alanındaki tehditlerin giderek arttığını ve daha karmaşık hale geldiğini göstermektedir. Herkesin erişimine açık olan Redis sunucularının kötüye kullanımı, hem veri güvenliği hem de işletmeler için büyük riskler taşımaktadır. Bu nedenle, şirketlerin ve bireylerin bu tür tehditlerin farkında olmaları ve uygun önlemleri almaları büyük önem taşımaktadır.
