HeadCrab Malware
Ang isang bago at napakalihim na malware na tinatawag na HeadCrab ay nakahahawa sa mga server ng Redis online at bumubuo ng isang botnet para minahan ng Monero cryptocurrency. Naging matagumpay ang Th HeadCrabe malware sa pagkompromiso sa mahigit 1,200 Redis server, na ginagamit nito upang maghanap ng higit pang mga target. Ang mga sopistikadong banta na aktor sa likod ng HeadCrab ay nakabuo ng custom-made na malware na napaka-advance at hindi madaling matukoy ng mga tradisyunal na solusyon sa anti-malware o agentless system. Ang mga detalye tungkol sa HeadCrab malware at ang mga nagbabantang operasyon ay inilabas sa isang ulat ng mga mananaliksik ng infosec.
Infection Vector na pinagsamantalahan ng HeadCrab Malware
Sinasamantala ng mga umaatake sa likod ng botnet na ito ang isang kahinaan sa mga server ng Redis, na idinisenyo para sa panloob na paggamit sa loob ng network ng isang organisasyon at walang pagpapatunay bilang default. Kung nabigo ang mga administrador na maayos na ma-secure ang kanilang mga server at gawin silang naa-access mula sa Internet, hindi sinasadya o sinasadya, ang mga umaatake ay madaling makakuha ng kontrol sa pamamagitan ng paggamit ng mga nagbabantang tool o malware. Kapag mayroon na silang access sa mga hindi napatotohanang server na ito, ang mga umaatake ay naglalabas ng "SLAVEOF" na utos upang i-synchronize ang server sa isang master server na nasa ilalim ng kanilang kontrol, na nagpapahintulot sa kanila na i-deploy ang HeadCrab malware sa bagong na-hijack na system.
Mga Masasamang Kakayahan ng HeadCrab Malware
Kapag na-install at na-activate na, binibigyan ng HeadCrab ang mga umaatake ng buong hanay ng mga kakayahan na kinakailangan para sakupin ang naka-target na server at isama ito sa kanilang crypto-mining botnet. Gumagana ito sa memorya ng mga nakompromisong device para makaiwas sa mga anti-malware scan. Ang HeadCrab malware ay nag-aalis ng lahat ng mga log at nakikipag-ugnayan lamang sa ibang mga server na kinokontrol ng mga operator nito upang makatakas sa pagtuklas.
Ang mga umaatake ay nakikipag-usap sa mga tunay na IP address, pangunahin ang kanilang iba pang mga kontaminadong server, upang maiwasan ang pagtuklas at mabawasan ang panganib na ma-block ng mga solusyon sa seguridad. Bilang karagdagan, ang HeadCrab Malware ay kadalasang nakabatay sa mga proseso ng Redis. Ang mga prosesong ito ay hindi malamang na ituring na pagbabanta o kahina-hinala. Ang mga payload ay nilo-load sa pamamagitan ng 'memfd,' memory-only na mga file, habang ang mga kernel module ay direktang nilo-load mula sa memorya bilang isang paraan upang maiwasan ang pagsusulat sa disk.
Ang pagsusuri sa Monero crypto-wallet address na nauugnay sa kampanya ng HeadCrab Malware ay nagsiwalat na ang mga umaatake ay nakakakuha ng tinatayang taunang tubo na $4,500 bawat manggagawa. Kung tama ang mga pagtatantya, nagpapakita ito ng matinding pagtaas sa karaniwang $200 bawat manggagawang naobserbahan sa iba pang mga uri ng operasyong ito.
