Perisian Hasad HeadCrab

Satu perisian hasad baharu yang sangat tersembunyi yang dipanggil HeadCrab telah menjangkiti pelayan Redis dalam talian dan membina botnet untuk melombong mata wang kripto Monero. Malware Th HeadCrabe telah berjaya menjejaskan lebih 1,200 pelayan Redis, yang digunakan untuk mencari lebih banyak sasaran. Aktor ancaman canggih di belakang HeadCrab telah membangunkan perisian hasad buatan tersuai yang sangat maju dan tidak mudah dikesan oleh penyelesaian anti perisian hasad tradisional atau sistem tanpa ejen. Butiran tentang perisian hasad HeadCrab dan operasi mengancam dikeluarkan dalam laporan oleh penyelidik infosec.

Vektor Jangkitan Dieksploitasi oleh Malware HeadCrab

Penyerang di sebalik botnet ini mengeksploitasi kelemahan dalam pelayan Redis, yang direka untuk kegunaan dalaman dalam rangkaian organisasi dan kekurangan pengesahan secara lalai. Jika pentadbir gagal melindungi pelayan mereka dengan betul dan menjadikannya boleh diakses dari Internet, sama ada secara tidak sengaja atau sengaja, penyerang boleh mengawal dengan mudah dengan menggunakan alat yang mengancam atau perisian hasad. Sebaik sahaja mereka mempunyai akses kepada pelayan yang tidak disahkan ini, penyerang mengeluarkan arahan "SLAVEOF" untuk menyegerakkan pelayan dengan pelayan induk di bawah kawalan mereka, membolehkan mereka menggunakan perisian hasad HeadCrab ke sistem yang baru dirampas.

Keupayaan Memudaratkan HeadCrab Malware

Setelah dipasang dan diaktifkan, HeadCrab memberikan penyerang pelbagai kebolehan yang diperlukan untuk mengambil alih pelayan yang disasarkan dan memasukkannya ke dalam botnet perlombongan kripto mereka. Ia beroperasi dalam ingatan peranti yang terjejas untuk mengelak imbasan anti-malware. Malware HeadCrab menghapuskan semua log dan hanya berkomunikasi dengan pelayan lain yang dikawal oleh pengendalinya untuk mengelakkan pengesanan.

Penyerang berkomunikasi dengan alamat IP sahih, terutamanya pelayan tercemar mereka yang lain, untuk mengelakkan pengesanan dan meminimumkan risiko disekat oleh penyelesaian keselamatan. Di samping itu, Malware HeadCrab kebanyakannya berdasarkan proses Redis. Proses ini tidak mungkin dianggap mengancam atau mencurigakan. Muatan dimuatkan melalui 'memfd,' fail memori sahaja, manakala modul kernel dimuatkan terus daripada memori sebagai cara untuk mengelakkan penulisan cakera.

Analisis alamat dompet kripto Monero yang dikaitkan dengan kempen Malware HeadCrab telah mendedahkan bahawa penyerang mengaut keuntungan tahunan anggaran $4,500 setiap pekerja. Jika anggaran adalah betul, ia menunjukkan peningkatan drastik berbanding $200 biasa bagi setiap pekerja yang diperhatikan dalam jenis operasi ini yang lain.