„HeadCrab“ kenkėjiška programa

Nauja, labai slapta kenkėjiška programa, pavadinta „HeadCrab“, užkrėtė „Redis“ serverius internete ir kuria botnetą, kad išgautų Monero kriptovaliutą. Kenkėjiška programa „Th HeadCrabe“ sėkmingai sukompromitavo daugiau nei 1 200 „Redis“ serverių, kuriuos ji naudoja ieškodama daugiau taikinių. Sudėtingi „HeadCrab“ grėsmių veikėjai sukūrė specialiai sukurtą kenkėjišką programą, kuri yra labai pažangi ir nėra lengvai aptinkama tradicinių apsaugos nuo kenkėjiškų programų ar sistemų be agentų. Informacija apie „HeadCrab“ kenkėjišką programą ir grėsmingas operacijas buvo paskelbta „Infosec“ tyrėjų ataskaitoje.

„HeadCrab“ kenkėjiškos programos išnaudotas infekcijos vektorius

Šio botneto užpuolikai išnaudoja Redis serverių pažeidžiamumą, kuris yra skirtas vidiniam naudojimui organizacijos tinkle ir pagal numatytuosius nustatymus neturi autentifikavimo. Jei administratoriams netyčia ar tyčia nepavyksta tinkamai apsaugoti savo serverių ir padaryti jų pasiekiamus iš interneto, užpuolikai gali lengvai valdyti naudodami grėsmingus įrankius ar kenkėjiškas programas. Kai jie turi prieigą prie šių neautentifikuotų serverių, užpuolikai išduoda komandą „SLAVEOF“, kad sinchronizuotų serverį su pagrindiniu jų valdomu serveriu, leidžiančiu jiems įdiegti „HeadCrab“ kenkėjišką programą naujai užgrobtoje sistemoje.

Kenkėjiškos „HeadCrab“ programos galimybės

Įdiegus ir suaktyvinus, „HeadCrab“ suteikia užpuolikams visą spektrą galimybių, reikalingų perimti tikslinį serverį ir įtraukti jį į savo kriptovaliutų kasybos robotų tinklą. Jis veikia pažeistų įrenginių atmintyje, kad išvengtų kenkėjiškų programų nuskaitymo. Kenkėjiška „HeadCrab“ programa pašalina visus žurnalus ir bendrauja tik su kitais serveriais, kuriuos kontroliuoja jos operatoriai, kad išvengtų aptikimo.

Užpuolikai bendrauja autentiškais IP adresais, pirmiausia kitais savo užterštais serveriais, kad išvengtų aptikimo ir sumažintų riziką, kad juos užblokuos saugos sprendimai. Be to, „HeadCrab“ kenkėjiška programa dažniausiai yra pagrįsta „Redis“ procesais. Šie procesai greičiausiai nebus laikomi grėsmingais ar įtartinais. Naudingi kroviniai įkeliami per „memfd“, tik atminties failus, o branduolio moduliai įkeliami tiesiai iš atminties, kad būtų išvengta įrašymo į diską.

Su „HeadCrab“ kenkėjiškų programų kampanija susijusio Monero kriptovaliutos adreso analizė atskleidė, kad užpuolikai uždirba apytikslį 4500 USD metinį pelną vienam darbuotojui. Jei įvertinimai yra teisingi, tai rodo drastišką padidėjimą, palyginti su įprastu 200 USD vienam darbuotojui, stebimu kitų šių operacijų tipų atveju.