Шкідлива програма HeadCrab

Нове таємне шкідливе програмне забезпечення під назвою HeadCrab заражає сервери Redis онлайн і створює ботнет для майнінгу криптовалюти Monero. Зловмисне програмне забезпечення HeadCrabe успішно скомпрометувало понад 1200 серверів Redis, які воно використовує для пошуку нових цілей. Досвідчені учасники загрози, що стоять за HeadCrab, розробили спеціально розроблене зловмисне програмне забезпечення, яке є дуже просунутим і нелегко виявити традиційними рішеннями для захисту від зловмисного програмного забезпечення або системами без агентів. Подробиці про зловмисне програмне забезпечення HeadCrab і загрозливі операції були опубліковані в звіті дослідників Infosec.

Інфекційний вектор, використаний шкідливим ПЗ HeadCrab

Зловмисники, які стоять за цим ботнетом, використовують уразливість серверів Redis, які призначені для внутрішнього використання в мережі організації та не мають автентифікації за замовчуванням. Якщо адміністратори не можуть належним чином захистити свої сервери та зробити їх доступними з Інтернету випадково чи навмисно, зловмисники можуть легко отримати контроль, використовуючи загрозливі інструменти або зловмисне програмне забезпечення. Отримавши доступ до цих неавтентифікованих серверів, зловмисники видають команду «SLAVEOF», щоб синхронізувати сервер із головним сервером під їхнім контролем, що дозволяє їм розгорнути шкідливе програмне забезпечення HeadCrab на щойно зламаній системі.

Шкідливі можливості HeadCrab

Після встановлення та активації HeadCrab надає зловмисникам повний набір можливостей, необхідних для захоплення цільового сервера та включення його у свій ботнет для майнінгу криптовалют. Він працює в пам’яті скомпрометованих пристроїв, щоб ухилитися від сканування зловмисного програмного забезпечення. Зловмисне програмне забезпечення HeadCrab видаляє всі журнали та спілкується лише з іншими серверами, контрольованими його операторами, щоб уникнути виявлення.

Зловмисники спілкуються з автентичними IP-адресами, насамперед з іншими зараженими серверами, щоб уникнути виявлення та мінімізувати ризик блокування засобами безпеки. Крім того, зловмисне програмне забезпечення HeadCrab здебільшого базується на процесах Redis. Ці процеси навряд чи можна вважати загрозливими чи підозрілими. Корисне навантаження завантажується через 'memfd', файли лише для пам'яті, тоді як модулі ядра завантажуються безпосередньо з пам'яті, щоб уникнути запису на диск.

Аналіз адреси крипто-гаманця Monero, пов’язаної з кампанією HeadCrab Malware, показав, що зловмисники отримують приблизно 4500 доларів США на рік на працівника. Якщо оцінки правильні, це показує різке збільшення порівняно з типовими 200 дол. США на працівника, які спостерігаються в інших типах операцій.