Malvér HeadCrab

Nový, vysoko tajný malvér s názvom HeadCrab infikuje servery Redis online a vytvára botnet na ťažbu kryptomeny Monero. Malvér Th HeadCrabe bol úspešný pri kompromitovaní viac ako 1 200 serverov Redis, ktoré používa na vyhľadávanie ďalších cieľov. Sofistikovaní aktéri hrozieb za HeadCrab vyvinuli na mieru vyrobený malvér, ktorý je vysoko pokročilý a nie je ľahké ho odhaliť tradičnými antimalvérovými riešeniami alebo systémami bez agentov. Podrobnosti o malvéri HeadCrab a hrozivých operáciách boli zverejnené v správe výskumníkov spoločnosti Infosec.

Vektor infekcie využívaný malvérom HeadCrab

Útočníci stojaci za týmto botnetom využívajú zraniteľnosť serverov Redis, ktorá je navrhnutá na interné použitie v rámci siete organizácie a v predvolenom nastavení chýba autentifikácia. Ak správcovia nedokážu správne zabezpečiť svoje servery a nesprístupniť ich z internetu, či už náhodne alebo úmyselne, útočníci môžu ľahko získať kontrolu pomocou ohrozujúcich nástrojov alebo malvéru. Keď útočníci získajú prístup k týmto neovereným serverom, vydajú príkaz „SLAVEOF“ na synchronizáciu servera s hlavným serverom, ktorý majú pod kontrolou, čo im umožní nasadiť malvér HeadCrab do novo uneseného systému.

Škodlivé schopnosti malvéru HeadCrab

Po nainštalovaní a aktivácii poskytuje HeadCrab útočníkom celý rad schopností potrebných na ovládnutie cieľového servera a jeho začlenenie do ich botnetu na ťažbu kryptomien. Funguje v pamäti napadnutých zariadení, aby sa vyhlo skenovaniu proti malvéru. Malvér HeadCrab eliminuje všetky protokoly a komunikuje iba s ostatnými servermi riadenými jeho operátormi, aby unikol detekcii.

Útočníci komunikujú s autentickými IP adresami, predovšetkým so svojimi ďalšími kontaminovanými servermi, aby sa vyhli detekcii a minimalizovali riziko zablokovania bezpečnostnými riešeniami. Okrem toho je malvér HeadCrab väčšinou založený na procesoch Redis. Tieto procesy sa pravdepodobne nebudú považovať za ohrozujúce alebo podozrivé. Užitočné zaťaženie sa načítava cez 'memfd', iba pamäťové súbory, zatiaľ čo moduly jadra sa načítavajú priamo z pamäte, aby sa zabránilo zápisu na disk.

Analýza adresy kryptopeňaženky Monero spojenej s kampaňou HeadCrab Malware odhalila, že útočníci dosahujú približný ročný zisk 4 500 dolárov na pracovníka. Ak sú odhady správne, ukazuje to drastický nárast v porovnaní s typickými 200 USD na pracovníka pozorovanými pri iných typoch operácií.