HeadCrab Malware
Egy új, nagyon lopakodó rosszindulatú, a HeadCrab online megfertőzte a Redis szervereket, és botnetet épített ki a Monero kriptovaluta bányászatára. A Th HeadCrabe kártevő több mint 1200 Redis szervert sikeresen feltört, amelyeket további célpontok keresésére használ. A HeadCrab mögött álló kifinomult fenyegetés szereplői olyan egyedi kártevőket fejlesztettek ki, amelyek rendkívül fejlettek, és amelyeket a hagyományos kártevő-elhárító megoldások vagy ügynök nélküli rendszerek nem könnyen észlelnek. A HeadCrab kártevőről és a fenyegető műveletekről részleteket közölt az infosec kutatói.
A HeadCrab Malware által kihasznált fertőzési vektort
A botnet mögött meghúzódó támadók a Redis-kiszolgálókon található sebezhetőséget használják ki, amelyet a szervezet hálózatán belüli belső használatra terveztek, és alapértelmezés szerint nem hitelesítik. Ha az adminisztrátorok véletlenül vagy szándékosan nem biztosítják megfelelően a szervereiket, és nem teszik elérhetővé az internetről, a támadók könnyen átvehetik az irányítást fenyegető eszközök vagy rosszindulatú programok segítségével. Amint hozzáférnek ezekhez a nem hitelesített szerverekhez, a támadók egy "SLAVEOF" parancsot adnak ki, hogy szinkronizálják a szervert az irányításuk alatt álló főkiszolgálóval, lehetővé téve számukra, hogy telepítsék a HeadCrab kártevőt az újonnan eltérített rendszerre.
A HeadCrab malware káros képességei
A telepítés és az aktiválás után a HeadCrab a támadóknak a képességek teljes skáláját kínálja, amelyek szükségesek ahhoz, hogy átvegyék a megcélzott szervert, és beépíthessék azt a kripto-bányász botnetükbe. A kompromittált eszközök memóriájában működik, hogy elkerülje a rosszindulatú programok elleni vizsgálatokat. A HeadCrab kártevő megszünteti az összes naplót, és csak az üzemeltetői által irányított más szerverekkel kommunikál, hogy elkerülje az észlelést.
A támadók hiteles IP-címekkel, elsősorban más szennyezett szervereikkel kommunikálnak, hogy elkerüljék az észlelést, és minimalizálják a biztonsági megoldások általi blokkolásának kockázatát. Ezenkívül a HeadCrab Malware többnyire Redis folyamatokon alapul. Ezeket a folyamatokat valószínűleg nem tekintik fenyegetőnek vagy gyanúsnak. A hasznos terhelések „memfd”, csak memóriafájlokon keresztül töltődnek be, míg a kernelmodulok közvetlenül a memóriából töltődnek be, hogy elkerüljék a lemezírást.
A HeadCrab Malware kampányhoz kapcsolódó Monero kriptopénztárca-cím elemzése feltárta, hogy a támadók dolgozónként hozzávetőlegesen 4500 dolláros éves nyereségre tesznek szert. Ha a becslések helyesek, akkor ez drasztikus növekedést mutat a tipikus, dolgozónkénti 200 dollárhoz képest, amelyet a többi művelettípusnál megfigyeltek.
