HeadCrab-malware
Een nieuwe, zeer onopvallende malware genaamd HeadCrab heeft Redis-servers online geïnfecteerd en een botnet gebouwd om Monero-cryptocurrency te minen. De HeadCrabe-malware is erin geslaagd meer dan 1.200 Redis-servers te compromitteren, die het gebruikt om naar meer doelen te zoeken. De geavanceerde bedreigingsactoren achter HeadCrab hebben op maat gemaakte malware ontwikkeld die zeer geavanceerd is en niet gemakkelijk kan worden gedetecteerd door traditionele anti-malware-oplossingen of agentloze systemen. Details over de HeadCrab-malware en de bedreigende operaties werden vrijgegeven in een rapport van infosec-onderzoekers.
Infectievector uitgebuit door HeadCrab-malware
De aanvallers achter dit botnet maken misbruik van een kwetsbaarheid in Redis-servers, die is ontworpen voor intern gebruik binnen het netwerk van een organisatie en die standaard geen authenticatie heeft. Als beheerders hun servers niet goed beveiligen en toegankelijk maken via internet, per ongeluk of opzettelijk, kunnen aanvallers gemakkelijk controle krijgen door middel van bedreigende tools of malware. Zodra ze toegang hebben tot deze niet-geverifieerde servers, geven de aanvallers een "SLAVEOF"-opdracht om de server te synchroniseren met een masterserver onder hun controle, waardoor ze de HeadCrab-malware op het nieuw gekaapte systeem kunnen inzetten.
De schadelijke mogelijkheden van HeadCrab Malware
Eenmaal geïnstalleerd en geactiveerd, geeft HeadCrab de aanvallers een volledig scala aan mogelijkheden die nodig zijn om de beoogde server over te nemen en op te nemen in hun cryptomining-botnet. Het werkt in het geheugen van gecompromitteerde apparaten om antimalwarescans te omzeilen. De HeadCrab-malware elimineert alle logboeken en communiceert alleen met andere servers die door de operators worden beheerd om aan detectie te ontsnappen.
De aanvallers communiceren met authentieke IP-adressen, voornamelijk hun andere besmette servers, om detectie te ontwijken en het risico van blokkering door beveiligingsoplossingen te minimaliseren. Bovendien is de HeadCrab-malware grotendeels gebaseerd op Redis-processen. Deze processen worden waarschijnlijk niet als bedreigend of verdacht beschouwd. De payloads worden geladen via 'memfd'-bestanden die alleen geheugen bevatten, terwijl kernelmodules rechtstreeks uit het geheugen worden geladen om schijfschrijfbewerkingen te voorkomen.
Analyse van het Monero crypto-wallet-adres dat is gekoppeld aan de HeadCrab Malware-campagne heeft onthuld dat de aanvallers een geschatte jaarlijkse winst van $ 4.500 per werknemer binnenhalen. Als de schattingen correct zijn, toont dit een drastische stijging ten opzichte van de typische $ 200 per werknemer die wordt waargenomen bij andere van deze soorten operaties.
