Търсене
Close this search box.

HeadCrab 2.0 е безфайлов, насочен към сървърите на Redis за добив на криптовалути

Изследователи в областта на киберсигурността представиха актуализирана версия на зловредния софтуер HeadCrab, за който е известно, че от началото на септември 2021 г. е насочен към сървърите за бази данни Redis по целия свят.

Разработката, която идва точно една година след като зловредният софтуер беше разкрит публично за първи път от Aqua, е знак, че финансово мотивираният кибер агент, който стои зад кампанията, активно адаптира и усъвършенства тактиките и техниките си, за да изпревари кривата на откриване.

Фирмата за облачна сигурност заяви, че „кампанията почти е удвоила броя на заразените Redis сървъри“, като са компрометирани допълнително 1100 сървъра, в сравнение с 1200, за които е съобщено в началото на 2023 г.

HeadCrab е проектиран така, че да прониква в изложени на интернет сървъри Redis и да ги вкарва в ботнет за незаконно добиване на криптовалута, като същевременно използва достъпа по начин, който позволява на субекта на заплахата да изпълнява шел команди, да зарежда безфайлови модули на ядрото и да екфилтрира данни към отдалечен сървър.

Въпреки че произходът на  заплахата понастоящем не е известен, той прави уточнението, че в „мини блог“, вграден в злонамерения софтуер, отбелязва, че дейността по добиване на криптовалути е „законна в моята страна“ и че я извършва, защото „почти не вреди на човешкия живот и чувства (ако се прави правилно)“.

Операторът обаче признава, че това е „паразитен и неефективен начин“ за печелене на пари, като добавя, че целта им е да печелят по 15 000 долара годишно.

„Неразделен аспект от сложността на HeadCrab 2.0 се крие в неговите усъвършенствани техники за избягване“, казват изследователите от Aqua Асаф Ейтани и Ницан Яков. „За разлика от своя предшественик (наречен HeadCrab 1.0), тази нова версия използва механизъм за зареждане без файлове, демонстрирайки стремежа на нападателя към скритост и устойчивост.“

Струва си да се отбележи, че предишната итерация използваше командата SLAVEOF, за да изтегли и запише файла на зловредния софтуер HeadCrab на диска, като по този начин оставяше следи от артефакти във файловата система.

HeadCrab 2.0, от друга страна, получава съдържанието на зловредния софтуер по комуникационния канал Redis и го съхранява на място без файлове в стремеж да сведе до минимум криминалистичните следи и да направи откриването му много по-трудно.

Променена в новия вариант е и употребата на командата Redis MGET за комуникация за командване и контрол (C2) за по-голяма скритост.

„Като се закача за тази стандартна команда, злонамереният софтуер получава възможност да я контролира по време на конкретни заявки, инициирани от атакуващия“, казват изследователите.

„Тези заявки се постигат чрез изпращане на специален низ като аргумент към командата MGET. Когато този специфичен низ бъде открит, злонамереният софтуер разпознава командата като произхождаща от нападателя, задействайки злонамерената C2 комуникация.“

Описвайки HeadCrab 2.0 като ескалация на сложността на зловредния софтуер Redis, Aqua заяви, че способността му да маскира зловредните си действия под прикритието на легитимни команди създава нови проблеми за откриване.

„Тази еволюция подчертава необходимостта от непрекъснати изследвания и развитие на инструментите и практиките за сигурност“, заключават изследователите. „Ангажираността на нападателя и последвалата еволюция на зловредния софтуер подчертават критичната необходимост от бдително наблюдение и събиране на разузнавателна информация.“

 

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
Бъдете социални
Още по темата
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
13/04/2024

Latrodectus продължава там,...

Брокерите за първоначален достъп използват новия...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!