HeadCrab Malware

En ny, mycket smyg skadlig programvara som heter HeadCrab har infekterat Redis-servrar online och byggt ett botnät för att bryta Monero-kryptovaluta. Th HeadCrabe malware har lyckats kompromissa med över 1 200 Redis-servrar, som den använder för att söka efter fler mål. De sofistikerade hotaktörerna bakom HeadCrab har utvecklat skräddarsydd skadlig programvara som är mycket avancerad och inte lätt att upptäcka av traditionella anti-malware-lösningar eller agentfria system. Detaljer om HeadCrab malware och de hotfulla operationerna släpptes i en rapport från infosec-forskare.

Infektionsvektor som utnyttjas av HeadCrab Malware

Angriparna bakom detta botnät utnyttjar en sårbarhet i Redis-servrar, som är designad för intern användning inom en organisations nätverk och saknar autentisering som standard. Om administratörer misslyckas med att säkra sina servrar ordentligt och göra dem tillgängliga från Internet, antingen av misstag eller avsiktligt, kan angriparna enkelt få kontroll genom att använda hotfulla verktyg eller skadlig programvara. När de väl har tillgång till dessa oautentiserade servrar, utfärdar angriparna ett "SLAVEOF"-kommando för att synkronisera servern med en huvudserver under deras kontroll, vilket gör att de kan distribuera HeadCrab malware på det nyligen kapade systemet.

HeadCrab Malwares skadliga egenskaper

När det väl har installerats och aktiverats, ger HeadCrab angriparna ett komplett utbud av förmågor som krävs för att ta över den riktade servern och införliva den i deras kryptomining-botnät. Den fungerar i minnet på komprometterade enheter för att undvika skanningar mot skadlig programvara. HeadCrab malware eliminerar alla loggar och kommunicerar endast med andra servrar som kontrolleras av dess operatörer för att undvika upptäckt.

Angriparna kommunicerar med autentiska IP-adresser, i första hand deras andra kontaminerade servrar, för att undvika upptäckt och minimera risken att blockeras av säkerhetslösningar. Dessutom är HeadCrab Malware mestadels baserad på Redis-processer. Dessa processer kommer sannolikt inte att anses vara hotfulla eller misstänkta. Nyttolasterna laddas via 'memfd', filer som endast är minnesvärda, medan kärnmoduler laddas direkt från minnet som ett sätt att undvika diskskrivning.

Analys av Monero krypto-plånboksadress associerad med HeadCrab Malware-kampanjen har avslöjat att angriparna håvar in en ungefärlig årlig vinst på $4 500 per arbetare. Om uppskattningarna är korrekta visar det en drastisk ökning jämfört med de typiska $200 per arbetare som observerats i andra av dessa operationstyper.