HeadCrab Malware

Novi, vrlo prikriveni zlonamjerni softver pod nazivom HeadCrab inficira Redis poslužitelje na mreži i gradi botnet za rudarenje Monero kriptovalute. Zlonamjerni softver HeadCrabe uspješno je kompromitirao više od 1200 Redis poslužitelja koje koristi za traženje novih meta. Sofisticirani akteri prijetnji koji stoje iza HeadCrab-a razvili su prilagođeni zlonamjerni softver koji je vrlo napredan i nije ga lako otkriti tradicionalnim anti-malware rješenjima ili sustavima bez agenata. Pojedinosti o zlonamjernom softveru HeadCrab i prijetećim operacijama objavljene su u izvješću istraživača Infoseca.

Vektor infekcije iskorištava zlonamjerni softver HeadCrab

Napadači koji stoje iza ovog botneta iskorištavaju ranjivost Redis poslužitelja, koji je dizajniran za internu upotrebu unutar mreže organizacije i nema autentifikaciju prema zadanim postavkama. Ako administratori ne uspiju ispravno osigurati svoje poslužitelje i učiniti ih dostupnima s interneta, slučajno ili namjerno, napadači mogu lako preuzeti kontrolu korištenjem prijetećih alata ili zlonamjernog softvera. Nakon što imaju pristup ovim neautentificiranim poslužiteljima, napadači izdaju naredbu "SLAVEOF" za sinkronizaciju poslužitelja s glavnim poslužiteljem pod svojom kontrolom, što im omogućuje da postave HeadCrab malware na novootet sustav.

Štetne mogućnosti HeadCrab malwarea

Nakon što se instalira i aktivira, HeadCrab daje napadačima cijeli niz mogućnosti potrebnih za preuzimanje ciljanog poslužitelja i njegovo uključivanje u svoj botnet za kripto rudarenje. Djeluje u memoriji kompromitiranih uređaja kako bi izbjegao anti-malware skeniranja. Zlonamjerni softver HeadCrab uklanja sve zapisnike i komunicira samo s drugim poslužiteljima koje kontroliraju njegovi operateri kako bi izbjegao otkrivanje.

Napadači komuniciraju s autentičnim IP adresama, prvenstveno svojim drugim kontaminiranim poslužiteljima, kako bi izbjegli otkrivanje i smanjili rizik od blokiranja sigurnosnim rješenjima. Osim toga, HeadCrab Malware uglavnom se temelji na Redis procesima. Te se procese vjerojatno neće smatrati prijetećima ili sumnjivima. Korisni učinci se učitavaju kroz 'memfd', datoteke samo za memoriju, dok se moduli kernela učitavaju izravno iz memorije kao način da se izbjegne pisanje na disk.

Analiza adrese Monero kripto-novčanika povezane s HeadCrab Malware kampanjom otkrila je da napadači zarađuju približno godišnji profit od 4500 USD po radniku. Ako su procjene točne, to pokazuje drastično povećanje u odnosu na uobičajenih 200 USD po radniku uočeno u drugim vrstama ovih operacija.