Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Исследователи кибербезопасности подробно описали обновленную версию вредоносного ПО HeadCrab, которое, как известно, нацелено на серверы баз данных Redis по всему миру с начала сентября 2021 года.
Разработка, которая началась ровно через год после того, как вредоносное ПО было впервые публично раскрыто компанией Aqua, является признаком того, что финансово мотивированный участник кампании активно адаптирует и совершенствует свою тактику и методы, чтобы опережать время обнаружения.
Компания по облачной безопасности заявила, что "кампания почти удвоила количество зараженных серверов Redis", дополнительно скомпрометировав 1100 серверов, по сравнению с 1200, о которых сообщалось в начале 2023 года.
HeadCrab предназначен для проникновения на открытые в Интернете серверы Redis и подключения их к ботнету для незаконного майнинга криптовалюты, а также для использования доступа таким образом, чтобы субъект угрозы мог выполнять команды командной оболочки, загружать безфайловые модули ядра и передавать данные на удаленный сервер.
Хотя происхождение источника угрозы в настоящее время неизвестно, они отмечают в "мини-блоге", встроенном в вредоносное ПО, что деятельность по майнингу "легальна в моей стране" и что они делают это, потому что "это почти не наносит вреда человеческой жизни и чувствам (если все сделано правильно)".
Оператор, однако, признает, что это "паразитический и неэффективный способ" зарабатывания денег, добавляя, что их цель - зарабатывать 15 000 долларов в год.
"Неотъемлемый аспект сложности HeadCrab 2.0 заключается в его передовых методах уклонения", - сказали исследователи Aqua Асаф Эйтани и Ницан Яаков. "В отличие от своего предшественника (названного HeadCrab 1.0), в этой новой версии используется механизм безфайловой загрузки, демонстрирующий приверженность злоумышленника скрытности и настойчивости".
Стоит отметить, что в предыдущей итерации использовалась команда SLAVEOF для загрузки и сохранения вредоносного файла HeadCrab на диск, тем самым оставляя следы артефактов в файловой системе.
HeadCrab 2.0, с другой стороны, получает содержимое вредоносного ПО по каналу связи Redis и сохраняет его в безфайловом хранилище, стремясь свести к минимуму криминалистический след и значительно усложнить его обнаружение.
Также в новом варианте изменено использование команды Redis MGET для командно-контрольных коммуникаций (C2) для дополнительной скрытности.
"Подключаясь к этой стандартной команде, вредоносная программа получает возможность управлять ею во время определенных запросов, инициированных злоумышленником", - говорят исследователи.
"Эти запросы выполняются путем отправки специальной строки в качестве аргумента команде MGET. При обнаружении этой конкретной строки вредоносная программа распознает команду как исходящую от злоумышленника, запуская вредоносное сообщение C2".
Описывая HeadCrab 2.0 как рост сложности вредоносного ПО Redis, Aqua заявила, что его способность маскировать свои вредоносные действия под видом законных команд создает новые проблемы для обнаружения.
"Эта эволюция подчеркивает необходимость постоянных исследований и разработок в области инструментов и практик безопасности", - заключили исследователи. "Вовлечение злоумышленника и последующая эволюция вредоносного ПО подчеркивают критическую необходимость бдительного мониторинга и сбора разведданных".
Разработка, которая началась ровно через год после того, как вредоносное ПО было впервые публично раскрыто компанией Aqua, является признаком того, что финансово мотивированный участник кампании активно адаптирует и совершенствует свою тактику и методы, чтобы опережать время обнаружения.
Компания по облачной безопасности заявила, что "кампания почти удвоила количество зараженных серверов Redis", дополнительно скомпрометировав 1100 серверов, по сравнению с 1200, о которых сообщалось в начале 2023 года.
HeadCrab предназначен для проникновения на открытые в Интернете серверы Redis и подключения их к ботнету для незаконного майнинга криптовалюты, а также для использования доступа таким образом, чтобы субъект угрозы мог выполнять команды командной оболочки, загружать безфайловые модули ядра и передавать данные на удаленный сервер.
Хотя происхождение источника угрозы в настоящее время неизвестно, они отмечают в "мини-блоге", встроенном в вредоносное ПО, что деятельность по майнингу "легальна в моей стране" и что они делают это, потому что "это почти не наносит вреда человеческой жизни и чувствам (если все сделано правильно)".
Оператор, однако, признает, что это "паразитический и неэффективный способ" зарабатывания денег, добавляя, что их цель - зарабатывать 15 000 долларов в год.
"Неотъемлемый аспект сложности HeadCrab 2.0 заключается в его передовых методах уклонения", - сказали исследователи Aqua Асаф Эйтани и Ницан Яаков. "В отличие от своего предшественника (названного HeadCrab 1.0), в этой новой версии используется механизм безфайловой загрузки, демонстрирующий приверженность злоумышленника скрытности и настойчивости".
Стоит отметить, что в предыдущей итерации использовалась команда SLAVEOF для загрузки и сохранения вредоносного файла HeadCrab на диск, тем самым оставляя следы артефактов в файловой системе.
HeadCrab 2.0, с другой стороны, получает содержимое вредоносного ПО по каналу связи Redis и сохраняет его в безфайловом хранилище, стремясь свести к минимуму криминалистический след и значительно усложнить его обнаружение.
Также в новом варианте изменено использование команды Redis MGET для командно-контрольных коммуникаций (C2) для дополнительной скрытности.
"Подключаясь к этой стандартной команде, вредоносная программа получает возможность управлять ею во время определенных запросов, инициированных злоумышленником", - говорят исследователи.
"Эти запросы выполняются путем отправки специальной строки в качестве аргумента команде MGET. При обнаружении этой конкретной строки вредоносная программа распознает команду как исходящую от злоумышленника, запуская вредоносное сообщение C2".
Описывая HeadCrab 2.0 как рост сложности вредоносного ПО Redis, Aqua заявила, что его способность маскировать свои вредоносные действия под видом законных команд создает новые проблемы для обнаружения.
"Эта эволюция подчеркивает необходимость постоянных исследований и разработок в области инструментов и практик безопасности", - заключили исследователи. "Вовлечение злоумышленника и последующая эволюция вредоносного ПО подчеркивают критическую необходимость бдительного мониторинга и сбора разведданных".
