HeadCrab תוכנה זדונית

תוכנה זדונית חדשה, חמקנית ביותר בשם HeadCrab, הדביקה את שרתי Redis באינטרנט ובנתה רשת בוט לכריית מטבעות קריפטוגרפיים של Monero. התוכנה הזדונית Th HeadCrabe הצליחה להתפשר על למעלה מ-1,200 שרתי Redis, שבהם היא משתמשת כדי לחפש יעדים נוספים. גורמי האיומים המתוחכמים מאחורי HeadCrab פיתחו תוכנות זדוניות בהתאמה אישית המתקדמת ביותר ואינה מזוהה בקלות על ידי פתרונות מסורתיים נגד תוכנות זדוניות או מערכות ללא סוכנים. פרטים על התוכנה הזדונית HeadCrab והפעולות המאיימות פורסמו בדו"ח של חוקרי infosec.

וקטור זיהום מנוצל על ידי HeadCrab Malware

התוקפים שמאחורי הבוטנט הזה מנצלים פגיעות בשרתי Redis, אשר מיועדת לשימוש פנימי ברשת של ארגון וחסרה אימות כברירת מחדל. אם מנהלי מערכת לא מצליחים לאבטח את השרתים שלהם ולהנגיש אותם מהאינטרנט, בטעות או בכוונה, התוקפים יכולים להשיג שליטה בקלות על ידי שימוש בכלים מאיימים או תוכנות זדוניות. ברגע שיש להם גישה לשרתים לא מאומתים אלה, התוקפים מוציאים פקודת "SLAVEOF" לסנכרן את השרת עם שרת ראשי בשליטתם, מה שמאפשר להם לפרוס את התוכנה הזדונית HeadCrab על המערכת החדשה שנחטפה.

היכולות המזיקות של HeadCrab Malware

לאחר ההתקנה וההפעלה, HeadCrab מעניק לתוקפים מגוון שלם של יכולות הדרושות להשתלט על השרת הממוקד ולשלב אותו בבוטנט הכרייה ההקריפטו שלהם. הוא פועל בזיכרון של מכשירים שנפגעו כדי להתחמק מסריקות נגד תוכנות זדוניות. התוכנה הזדונית HeadCrab מבטלת את כל היומנים ומתקשרת רק עם שרתים אחרים הנשלטים על ידי המפעילים שלה כדי לחמוק מזיהוי.

התוקפים מתקשרים עם כתובות IP אותנטיות, בעיקר שאר השרתים המזוהמים שלהם, כדי לחמוק מזיהוי ולמזער את הסיכון לחסימה על ידי פתרונות אבטחה. בנוסף, ה-HeadCrab Malware מבוססת בעיקר על תהליכי Redis. תהליכים אלו לא צפויים להיחשב מאיימים או חשודים. המטענים נטענים דרך 'memfd', קבצי זיכרון בלבד, בעוד מודולי ליבה נטענים ישירות מהזיכרון כדרך להימנע מכתיבת דיסק.

ניתוח של כתובת הארנק הקריפטו של Monero הקשורה לקמפיין HeadCrab Malware גילה שהתוקפים גורפים רווח שנתי משוער של $4,500 לעובד. אם ההערכות נכונות, זה מראה עלייה דרסטית ביחס ל-$200 הטיפוסי לעובד שנצפה בשאר סוגי הפעולות הללו.