HeadCrab ļaunprātīga programmatūra

Jauna, ļoti slepena ļaunprātīga programmatūra ar nosaukumu HeadCrab ir inficējusi Redis serverus tiešsaistē un veidojusi robottīklu, lai iegūtu Monero kriptovalūtu. Th HeadCrabe ļaunprogrammatūra ir veiksmīgi apdraudējusi vairāk nekā 1200 Redis serverus, kurus tā izmanto, lai meklētu vairāk mērķu. Sarežģītie apdraudējuma dalībnieki, kas ir aiz HeadCrab, ir izstrādājuši pēc pasūtījuma izgatavotu ļaunprogrammatūru, kas ir ļoti progresīva un kuru nav viegli atklāt tradicionālajiem pretļaundabīgo programmu risinājumiem vai sistēmām bez aģentiem. Sīkāka informācija par HeadCrab ļaunprogrammatūru un draudošajām operācijām tika publicēta infosec pētnieku ziņojumā.

Infekcijas vektoru izmantoja HeadCrab ļaunprogrammatūra

Uzbrucēji aiz šī robottīkla izmanto ievainojamību Redis serveros, kas ir paredzēti iekšējai lietošanai organizācijas tīklā un kuriem pēc noklusējuma nav autentifikācijas. Ja administratoriem nejauši vai tīši neizdodas pienācīgi aizsargāt savus serverus un padarīt tos pieejamus no interneta, uzbrucēji var viegli iegūt kontroli, izmantojot apdraudošus rīkus vai ļaunprātīgu programmatūru. Kad viņiem ir piekļuve šiem neautentificētajiem serveriem, uzbrucēji izdod komandu "SLAVEOF", lai sinhronizētu serveri ar galveno serveri, kas atrodas viņu kontrolē, ļaujot viņiem izvietot HeadCrab ļaunprogrammatūru tikko nolaupītajā sistēmā.

HeadCrab ļaunprātīgās programmatūras kaitīgās iespējas

Pēc instalēšanas un aktivizēšanas HeadCrab sniedz uzbrucējiem pilnu iespēju klāstu, kas nepieciešams, lai pārņemtu mērķa serveri un iekļautu to savā kriptoraktuves robottīklā. Tas darbojas apdraudēto ierīču atmiņā, lai izvairītos no ļaunprātīgas programmatūras skenēšanas. HeadCrab ļaunprogrammatūra novērš visus žurnālus un sazinās tikai ar citiem serveriem, ko kontrolē tās operatori, lai izvairītos no atklāšanas.

Uzbrucēji sazinās ar autentiskām IP adresēm, galvenokārt ar citiem piesārņotajiem serveriem, lai izvairītos no atklāšanas un samazinātu risku tikt bloķētiem ar drošības risinājumiem. Turklāt HeadCrab ļaunprātīgā programmatūra galvenokārt ir balstīta uz Redis procesiem. Šie procesi, visticamāk, netiks uzskatīti par draudiem vai aizdomīgiem. Lietderīgās slodzes tiek ielādētas, izmantojot “memfd”, tikai atmiņas failus, savukārt kodola moduļi tiek ielādēti tieši no atmiņas, lai izvairītos no ierakstīšanas diskā.

Ar HeadCrab Malware kampaņu saistītās Monero kriptovalūtas adreses analīze atklāja, ka uzbrucēji gūst aptuvenu gada peļņu 4500 USD apmērā uz vienu darbinieku. Ja aprēķini ir pareizi, tas liecina par krasu pieaugumu, salīdzinot ar parastiem USD 200 uz vienu darbinieku, kas novērots citos no šiem operāciju veidiem.