Κακόβουλο λογισμικό HeadCrab

Ένα νέο, εξαιρετικά κρυφό κακόβουλο λογισμικό που ονομάζεται HeadCrab μολύνει διακομιστές Redis στο διαδίκτυο και δημιουργεί ένα botnet για την εξόρυξη κρυπτονομίσματος Monero. Το κακόβουλο λογισμικό Th HeadCrabe πέτυχε να παραβιάσει περισσότερους από 1.200 διακομιστές Redis, τους οποίους χρησιμοποιεί για την αναζήτηση περισσότερων στόχων. Οι εξελιγμένοι παράγοντες απειλών πίσω από το HeadCrab έχουν αναπτύξει εξατομικευμένο κακόβουλο λογισμικό που είναι εξαιρετικά προηγμένο και δεν εντοπίζεται εύκολα από παραδοσιακές λύσεις κατά του κακόβουλου λογισμικού ή συστήματα χωρίς πράκτορες. Λεπτομέρειες σχετικά με το κακόβουλο λογισμικό HeadCrab και τις απειλητικές λειτουργίες δημοσιεύθηκαν σε μια έκθεση από ερευνητές του infosec.

Διάνυσμα μόλυνσης που αξιοποιείται από κακόβουλο λογισμικό HeadCrab

Οι εισβολείς πίσω από αυτό το botnet εκμεταλλεύονται μια ευπάθεια στους διακομιστές Redis, η οποία έχει σχεδιαστεί για εσωτερική χρήση στο δίκτυο ενός οργανισμού και δεν έχει έλεγχο ταυτότητας από προεπιλογή. Εάν οι διαχειριστές αποτύχουν να ασφαλίσουν σωστά τους διακομιστές τους και να τους καταστήσουν προσβάσιμους από το Διαδίκτυο, είτε κατά λάθος είτε εκ προθέσεως, οι εισβολείς μπορούν εύκολα να αποκτήσουν τον έλεγχο χρησιμοποιώντας απειλητικά εργαλεία ή κακόβουλο λογισμικό. Μόλις αποκτήσουν πρόσβαση σε αυτούς τους διακομιστές χωρίς έλεγχο ταυτότητας, οι εισβολείς εκδίδουν μια εντολή "SLAVEOF" για να συγχρονίσουν τον διακομιστή με έναν κύριο διακομιστή υπό τον έλεγχό τους, επιτρέποντάς τους να αναπτύξουν το κακόβουλο λογισμικό HeadCrab στο νέο σύστημα που έχει παραβιαστεί.

Επιβλαβείς δυνατότητες του HeadCrab Malware

Μόλις εγκατασταθεί και ενεργοποιηθεί, το HeadCrab δίνει στους επιτιθέμενους ένα πλήρες φάσμα ικανοτήτων που είναι απαραίτητες για να καταλάβουν τον στοχευμένο διακομιστή και να τον ενσωματώσουν στο botnet εξόρυξης κρυπτογράφησης. Λειτουργεί στη μνήμη των παραβιασμένων συσκευών για την αποφυγή σαρώσεων κατά του κακόβουλου λογισμικού. Το κακόβουλο λογισμικό HeadCrab εξαλείφει όλα τα αρχεία καταγραφής και επικοινωνεί μόνο με άλλους διακομιστές που ελέγχονται από τους χειριστές του για να αποφύγει τον εντοπισμό.

Οι εισβολείς επικοινωνούν με αυθεντικές διευθύνσεις IP, κυρίως με άλλους μολυσμένους διακομιστές τους, για να αποφύγουν τον εντοπισμό και να ελαχιστοποιήσουν τον κίνδυνο αποκλεισμού από λύσεις ασφαλείας. Επιπλέον, το κακόβουλο λογισμικό HeadCrab βασίζεται κυρίως σε διαδικασίες Redis. Αυτές οι διαδικασίες δεν είναι πιθανό να θεωρηθούν απειλητικές ή ύποπτες. Τα ωφέλιμα φορτία φορτώνονται μέσω αρχείων 'memfd' μόνο μνήμης, ενώ οι μονάδες πυρήνα φορτώνονται απευθείας από τη μνήμη ως ένας τρόπος για να αποφευχθεί η εγγραφή στο δίσκο.

Η ανάλυση της διεύθυνσης κρυπτογραφικού πορτοφολιού Monero που σχετίζεται με την καμπάνια HeadCrab Malware αποκάλυψε ότι οι εισβολείς αποκομίζουν κατά προσέγγιση ετήσιο κέρδος 4.500 $ ανά εργαζόμενο. Εάν οι εκτιμήσεις είναι σωστές, δείχνει μια δραστική αύξηση πάνω από τα τυπικά $200 ανά εργαζόμενο που παρατηρείται σε άλλους από αυτούς τους τύπους εργασιών.