Вредоносное ПО HeadCrab

Новое очень скрытное вредоносное ПО под названием HeadCrab заражает серверы Redis онлайн и создает ботнет для добычи криптовалюты Monero. Вредоносная программа HeadCrabe успешно взломала более 1200 серверов Redis, которые она использует для поиска новых целей. Сложные злоумышленники, стоящие за HeadCrab, разработали специализированное вредоносное ПО, обладающее высокой степенью продвинутости, которое нелегко обнаружить с помощью традиционных решений для защиты от вредоносных программ или безагентных систем. Подробности о вредоносном ПО HeadCrab и угрожающих операциях были опубликованы в отчете исследователей информационной безопасности.

Вектор заражения, используемый вредоносной программой HeadCrab

Злоумышленники, стоящие за этим ботнетом, используют уязвимость в серверах Redis, которая предназначена для внутреннего использования в сети организации и по умолчанию не имеет аутентификации. Если администраторы случайно или преднамеренно не смогут должным образом защитить свои серверы и сделать их доступными из Интернета, злоумышленники могут легко получить контроль, используя угрожающие инструменты или вредоносное ПО. Получив доступ к этим неаутентифицированным серверам, злоумышленники запускают команду «SLAVEOF» для синхронизации сервера с главным сервером, находящимся под их контролем, что позволяет им развернуть вредоносное ПО HeadCrab на недавно захваченной системе.

Опасные возможности вредоносного ПО HeadCrab

После установки и активации HeadCrab предоставляет злоумышленникам полный набор возможностей, необходимых для захвата целевого сервера и включения его в свою крипто-майнинговую ботнет. Он работает в памяти скомпрометированных устройств, чтобы избежать сканирования на наличие вредоносных программ. Вредоносная программа HeadCrab удаляет все журналы и взаимодействует только с другими серверами, контролируемыми ее операторами, чтобы избежать обнаружения.

Злоумышленники общаются с подлинными IP-адресами, в первую очередь с другими зараженными серверами, чтобы избежать обнаружения и свести к минимуму риск блокировки решениями безопасности. Кроме того, вредоносное ПО HeadCrab в основном основано на процессах Redis. Эти процессы вряд ли будут считаться угрожающими или подозрительными. Полезная нагрузка загружается через memfd, файлы только для памяти, в то время как модули ядра загружаются непосредственно из памяти, чтобы избежать записи на диск.

Анализ адреса крипто-кошелька Monero, связанного с кампанией вредоносного ПО HeadCrab, показал, что злоумышленники получают приблизительную годовую прибыль в размере 4500 долларов США на каждого работника. Если оценки верны, это показывает резкое увеличение по сравнению с типичными 200 долларами на одного работника, наблюдаемыми в других типах операций.