HeadCrab Malware

Нов, изключително невидим злонамерен софтуер, наречен HeadCrab, заразява сървърите на Redis онлайн и изгражда ботнет за копаене на криптовалута Monero. Th HeadCrabe е успял да компрометира над 1200 Redis сървъра, които използва за търсене на повече цели. Усъвършенстваните заплахи, които стоят зад HeadCrab, са разработили персонализиран злонамерен софтуер, който е много усъвършенстван и не се открива лесно от традиционните анти-зловреден софтуер решения или системи без агенти. Подробности за злонамерения софтуер HeadCrab и заплашващите операции бяха публикувани в доклад от изследователи на infosec.

Инфекционен вектор, експлоатиран от злонамерен софтуер HeadCrab

Нападателите зад тази ботнет експлоатират уязвимост в сървърите на Redis, които са предназначени за вътрешна употреба в мрежата на организация и нямат удостоверяване по подразбиране. Ако администраторите не успеят да осигурят правилно своите сървъри и да ги направят достъпни от интернет, случайно или умишлено, нападателите могат лесно да получат контрол, като използват заплашителни инструменти или зловреден софтуер. След като имат достъп до тези неавтентифицирани сървъри, нападателите издават команда "SLAVEOF", за да синхронизират сървъра с главен сървър под техен контрол, което им позволява да разположат злонамерения софтуер HeadCrab върху новоотвлечената система.

Вредните възможности на HeadCrab Malware

Веднъж инсталиран и активиран, HeadCrab дава на нападателите пълен набор от способности, необходими за превземането на целевия сървър и включването му в тяхната ботнет за крипто копаене. Той работи в паметта на компрометирани устройства, за да избегне сканирането срещу зловреден софтуер. Зловреден софтуер HeadCrab елиминира всички регистрационни файлове и комуникира само с други сървъри, контролирани от неговите оператори, за да избегне откриването.

Нападателите комуникират с автентични IP адреси, предимно техните други замърсени сървъри, за да избегнат откриването и да сведат до минимум риска от блокиране от решения за сигурност. В допълнение, злонамереният софтуер HeadCrab се основава предимно на процеси на Redis. Тези процеси няма вероятност да се считат за заплашителни или подозрителни. Полезните товари се зареждат чрез „memfd“, файлове само за памет, докато модулите на ядрото се зареждат директно от паметта като начин да се избегне запис на диск.

Анализът на адреса на крипто-портфейла Monero, свързан с кампанията за злонамерен софтуер HeadCrab, разкри, че нападателите печелят приблизителна годишна печалба от $4500 на работник. Ако оценките са правилни, това показва драстично увеличение над типичните $200 на работник, наблюдавани при други от тези видове операции.