Търсене
Close this search box.

Варианти на зловредния софтуер „HeadCrab“ завладяват хиляди сървъри

BLACK HAT EUROPE 2023 – Лондон – Зловредният софтуер HeadCrab, който добавя заразени устройства към ботнет за използване в криптомайнинг и други атаки, се появи отново с нов блестящ вариант, който позволява рут достъп до сървъри с отворен код Redis.

Изследователи от Aqua Security заявиха, че вторият вариант на зловредния софтуер за криптомайнинг е заразил 1100 сървъра; първият вариант вече е заразил поне 1200 сървъра.

Руут достъп до Redis?

Изследователят в областта на сигурността Асаф Ейтани, който е част от Team Nautilus, изследователския екип на Aqua Security, разказва пред Dark Reading, че макар HeadCrab да не е традиционен руткит, създателят на зловредния софтуер е добавил възможността той да контролира дадена функция и да изпраща отговор.

„По принцип това е поведение на руткит в смисъл, че той контролира всички отговори за тези места“, казва Ейтани. „Така че той може просто да модифицира отговора и да стане невидим.“

Ейтани добавя: „Традицията на термина руткит е зловреден софтуер, който има достъп до рут и контролира всичко, но в този смисъл вие можете да контролирате това, което вижда потребителят.“

Втори вариант

Новият вариант е снабден с незначителни актуализации, които позволяват на нападателя да скрие по-добре действията си чрез премахване на потребителските команди и добавяне на криптиране на инфраструктурата за управление и контрол.

„[Смятаме, че] той все още го модифицира и очакваме да открием по-нова версия на този зловреден софтуер и да видим начина, по който той реагира на нашето публикуване [на допълнителни подробности]“, казва Ейтани. „Той не се е отказал.“

Подробности за двата варианта бяха споделени днес в презентация на Ейтани и неговия колега, старши анализатор на данни Ницан Яков.

Отговаряне

Особено уникален елемент на HeadCrab е „мини блог“ в зловредния софтуер, в който авторът на зловредния софтуер пише технически подробности за него и оставя имейл адрес Proton Mail, за да остане анонимен.

Изследователите от Aqua Security използваха имейла, за да се свържат със създателя на HeadCrab – който се подвизава под кодовото име Ice9 – но не успяха да определят името или местоположението му. Въпреки това Ice9 казал на изследователите, че те са първите хора, които са му изпратили имейл.

В разговорите по електронната поща с изследователите Ice9 казал, че зловредният софтуер не намалява производителността на сървъра и може да премахва други зловредни инфекции. Той също така изпратил на изследователите хеш на зловредния софтуер, за да могат да го проверят.

След откриването на втория вариант в ново съобщение в миниблога Ice9 похвали работата, която са свършили изследователите от Aqua. „Той спомена и някои технически подробности, които пропуснахме от първата версия, а последната бележка беше относно техническите подробности в новата версия и как се е отървал от потребителските команди“, казва Айтани.

Ice9 е единственият потребител на HeadCrab и единствено контролира инфраструктурата за управление и контрол, отбелязва Ейтани.

Поемане на контрола

HeadCrab заразява сървъра Redis, когато нападателят използва командата SLAVEOF, изтегля злонамерен модул и стартира два нови файла: криптомайнера и конфигурационен файл. Според изследователите процесът включва команда, която позволява на администраторите да определят сървър в рамките на Redis Cluster като „подчинен“ на друг „главен“ сървър в рамките на клъстера.

Изследователите препоръчват на организациите да сканират за уязвимости и неправилни конфигурации своите сървъри и да използват защитен режим в Redis, за да намалят вероятността за заразяване от HeadCrab.

 

Източник: DARKReading

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
Бъдете социални
Още по темата
18/04/2024

Болница в Кан с 869 легла и...

Болница „Симон Вейл“ в Кан (CHC-SV)...
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
16/04/2024

UnitedHealth Group отчете 8...

UnitedHealth Group отчете 872 млн. щатски...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!