Złośliwe oprogramowanie HeadCrab
Nowe, wysoce ukryte złośliwe oprogramowanie o nazwie HeadCrab infekuje serwery Redis online i buduje botnet do wydobywania kryptowaluty Monero. Szkodliwemu oprogramowaniu HeadCrabe udało się złamać zabezpieczenia ponad 1200 serwerów Redis, których używa do wyszukiwania większej liczby celów. Wyrafinowani cyberprzestępcy stojący za HeadCrab opracowali niestandardowe złośliwe oprogramowanie, które jest wysoce zaawansowane i trudne do wykrycia przez tradycyjne rozwiązania do ochrony przed złośliwym oprogramowaniem lub systemy bezagentowe. Szczegóły dotyczące złośliwego oprogramowania HeadCrab i zagrażających operacji zostały ujawnione w raporcie badaczy infosec.
Wektor infekcji wykorzystywany przez złośliwe oprogramowanie HeadCrab
Atakujący stojący za tym botnetem wykorzystują lukę w zabezpieczeniach serwerów Redis, które są przeznaczone do użytku wewnętrznego w sieci organizacji i domyślnie nie mają uwierzytelniania. Jeśli administratorzy przypadkowo lub celowo nie zabezpieczą odpowiednio swoich serwerów i nie udostępnią ich z Internetu, osoby atakujące mogą łatwo przejąć kontrolę za pomocą groźnych narzędzi lub złośliwego oprogramowania. Po uzyskaniu dostępu do tych nieuwierzytelnionych serwerów osoby atakujące wydają polecenie „SLAVEOF”, aby zsynchronizować serwer z kontrolowanym przez nich serwerem głównym, co pozwala im na zainstalowanie złośliwego oprogramowania HeadCrab w nowo przejętym systemie.
Szkodliwe możliwości złośliwego oprogramowania HeadCrab
Po zainstalowaniu i aktywacji HeadCrab daje atakującym pełny zakres możliwości niezbędnych do przejęcia docelowego serwera i włączenia go do ich botnetu wydobywającego kryptowaluty. Działa w pamięci zaatakowanych urządzeń, aby uniknąć skanowania w poszukiwaniu złośliwego oprogramowania. Szkodliwe oprogramowanie HeadCrab eliminuje wszystkie logi i komunikuje się tylko z innymi serwerami kontrolowanymi przez jego operatorów, aby uniknąć wykrycia.
Atakujący komunikują się za pomocą autentycznych adresów IP, głównie innych zanieczyszczonych serwerów, aby uniknąć wykrycia i zminimalizować ryzyko zablokowania przez rozwiązania bezpieczeństwa. Ponadto złośliwe oprogramowanie HeadCrab jest w większości oparte na procesach Redis. Procesy te raczej nie zostaną uznane za groźne lub podejrzane. Ładunki są ładowane przez „memfd”, pliki tylko do pamięci, podczas gdy moduły jądra są ładowane bezpośrednio z pamięci, aby uniknąć zapisu na dysku.
Analiza adresu portfela kryptowalutowego Monero powiązanego z kampanią HeadCrab Malware ujawniła, że atakujący zgarniają około 4500 USD rocznego zysku na pracownika. Jeśli szacunki są prawidłowe, pokazuje to drastyczny wzrost w stosunku do typowych 200 USD na pracownika obserwowanych w innych tego typu operacjach.
