हेडक्रैब मैलवेयर
HeadCrab नामक एक नया, बेहद चोरी-छिपे मैलवेयर Redis सर्वर को ऑनलाइन संक्रमित कर रहा है और Monero cryptocurrency को माइन करने के लिए एक बॉटनेट का निर्माण कर रहा है। Th HeadCrabe मैलवेयर 1,200 से अधिक रेडिस सर्वरों से समझौता करने में सफल रहा है, जिसका उपयोग वह अधिक लक्ष्यों की खोज के लिए करता है। HeadCrab के पीछे परिष्कृत खतरे वाले अभिनेताओं ने कस्टम-निर्मित मैलवेयर विकसित किया है जो अत्यधिक उन्नत है और पारंपरिक एंटी-मैलवेयर समाधान या एजेंट रहित सिस्टम द्वारा आसानी से पता नहीं लगाया जा सकता है। HeadCrab मालवेयर और धमकी देने वाले ऑपरेशन के बारे में जानकारी Infosec शोधकर्ताओं की एक रिपोर्ट में जारी की गई थी।
HeadCrab मैलवेयर द्वारा संक्रमण वेक्टर का शोषण
इस बॉटनेट के पीछे हमलावर रेडिस सर्वर में भेद्यता का फायदा उठाते हैं, जिसे संगठन के नेटवर्क के भीतर आंतरिक उपयोग के लिए डिज़ाइन किया गया है और डिफ़ॉल्ट रूप से प्रमाणीकरण की कमी है। यदि प्रशासक अपने सर्वर को ठीक से सुरक्षित करने में विफल रहते हैं और उन्हें गलती से या जानबूझकर इंटरनेट से एक्सेस करने योग्य बनाते हैं, तो हमलावर आसानी से धमकी देने वाले टूल या मैलवेयर का उपयोग करके नियंत्रण हासिल कर सकते हैं। एक बार इन अप्रमाणित सर्वरों तक उनकी पहुंच हो जाने के बाद, हमलावर अपने नियंत्रण में मास्टर सर्वर के साथ सर्वर को सिंक्रोनाइज़ करने के लिए "SLAVEOF" कमांड जारी करते हैं, जिससे उन्हें हेडक्रैब मालवेयर को नए अपहृत सिस्टम पर तैनात करने की अनुमति मिलती है।
हेडक्रैब मालवेयर की हानिकारक क्षमताएं
एक बार स्थापित और सक्रिय होने के बाद, हेडक्रैब हमलावरों को लक्षित सर्वर पर कब्जा करने और इसे अपने क्रिप्टो-माइनिंग बॉटनेट में शामिल करने के लिए आवश्यक क्षमताओं की एक पूरी श्रृंखला देता है। यह एंटी-मैलवेयर स्कैन को चकमा देने के लिए समझौता किए गए उपकरणों की मेमोरी में काम करता है। HeadCrab मालवेयर सभी लॉग्स को हटा देता है और पहचान से बचने के लिए केवल इसके ऑपरेटरों द्वारा नियंत्रित अन्य सर्वरों के साथ संचार करता है।
हमलावर पहचान से बचने और सुरक्षा समाधानों द्वारा अवरुद्ध होने के जोखिम को कम करने के लिए, मुख्य रूप से अपने अन्य दूषित सर्वरों के साथ प्रामाणिक आईपी पतों के साथ संवाद करते हैं। इसके अलावा, हेडक्रैब मैलवेयर ज्यादातर रेडिस प्रक्रियाओं पर आधारित है। इन प्रक्रियाओं को खतरनाक या संदिग्ध नहीं माना जा सकता है। पेलोड 'मेमफड', मेमोरी-ओनली फाइलों के माध्यम से लोड किए जाते हैं, जबकि डिस्क राइट्स से बचने के तरीके के रूप में कर्नेल मॉड्यूल को सीधे मेमोरी से लोड किया जाता है।
हेडक्रैब मालवेयर अभियान से जुड़े मोनेरो क्रिप्टो-वॉलेट पते के विश्लेषण से पता चला है कि हमलावर प्रति कर्मचारी $ 4,500 के अनुमानित वार्षिक लाभ में बढ़ रहे हैं। यदि अनुमान सही हैं, तो यह इन कार्यों के अन्य प्रकारों में देखे गए विशिष्ट $200 प्रति कर्मचारी की तुलना में भारी वृद्धि दर्शाता है।
