HeadCrab Malware
En ny, svært snikende skadelig programvare kalt HeadCrab har infisert Redis-servere på nettet og bygget et botnett for å utvinne Monero-kryptovaluta. Th HeadCrabe malware har lykkes med å kompromittere over 1200 Redis-servere, som den bruker til å søke etter flere mål. De sofistikerte trusselaktørene bak HeadCrab har utviklet skreddersydd malware som er svært avansert og ikke lett oppdages av tradisjonelle anti-malware-løsninger eller agentløse systemer. Detaljer om HeadCrab malware og de truende operasjonene ble utgitt i en rapport fra infosec-forskere.
Infeksjonsvektor utnyttet av HeadCrab Malware
Angriperne bak dette botnettet utnytter en sårbarhet i Redis-servere, som er designet for intern bruk i en organisasjons nettverk og mangler autentisering som standard. Hvis administratorer ikke klarer å sikre serverne sine og gjøre dem tilgjengelige fra Internett, enten ved et uhell eller med vilje, kan angriperne enkelt få kontroll ved å bruke truende verktøy eller skadelig programvare. Når de har tilgang til disse uautentiserte serverne, utsteder angriperne en "SLAVEOF"-kommando for å synkronisere serveren med en masterserver under deres kontroll, slik at de kan distribuere HeadCrab-malwaren på det nylig kaprede systemet.
HeadCrab Malwares skadelige egenskaper
Når den er installert og aktivert, gir HeadCrab angriperne et komplett spekter av ferdigheter som er nødvendige for å ta over den målrettede serveren og inkorporere den i deres kryptogruve-botnett. Den opererer i minnet til kompromitterte enheter for å unngå skanninger mot skadelig programvare. HeadCrab malware eliminerer alle logger og kommuniserer kun med andre servere kontrollert av operatørene for å unnslippe oppdagelse.
Angriperne kommuniserer med autentiske IP-adresser, først og fremst deres andre kontaminerte servere, for å unngå deteksjon og minimere risikoen for å bli blokkert av sikkerhetsløsninger. I tillegg er HeadCrab Malware for det meste basert på Redis-prosesser. Disse prosessene vil sannsynligvis ikke anses som truende eller mistenkelige. Nyttelastene lastes gjennom 'memfd', bare minnefiler, mens kjernemoduler lastes direkte fra minnet som en måte å unngå diskskriving.
Analyse av Monero-krypto-lommebokadressen knyttet til HeadCrab Malware-kampanjen har avslørt at angriperne henter inn et omtrentlig årlig overskudd på $4500 per arbeider. Hvis estimatene er korrekte, viser det en drastisk økning over de typiske $200 per arbeider som er observert i andre av disse operasjonstypene.
