Cybersecurity-onderzoekers hebben een bijgewerkte versie van de malware gedetailleerd HoofdKrab waarvan bekend is dat het zich sinds begin september 2021 richt op Redis-databaseservers over de hele wereld.
De ontwikkeling, die precies een jaar plaatsvindt nadat de malware voor het eerst openbaar werd gemaakt door Aqua, is een teken dat de financieel gemotiveerde dreigingsactor achter de campagne zijn tactieken en technieken actief aanpast en verfijnt om de detectiecurve voor te blijven.
Het cloudbeveiligingsbedrijf zei dat “de campagne het aantal geïnfecteerde Redis-servers bijna heeft verdubbeld”, met nog eens 1.100 gecompromitteerde servers, tegen 1.200 gerapporteerd begin 2023.
HeadCrab is ontworpen om in internet blootgestelde Redis-servers te infiltreren en deze in een botnet samen te brengen voor het illegaal minen van cryptocurrency, terwijl de toegang ook wordt benut op een manier die de bedreigingsactor in staat stelt shell-opdrachten uit te voeren, bestandsloze kernelmodules te laden en gegevens naar een externe locatie te exfiltreren. server.
Hoewel de oorsprong van de bedreigingsactoren momenteel niet bekend is, maken ze er een punt van om in een ‘miniblog’ ingebed in de malware op te merken dat de mijnbouwactiviteit ‘legaal is in mijn land’ en dat ze dit doen omdat ‘het bijna niet zo is’. geen menselijk leven en gevoelens schaden (als het goed wordt gedaan).”
De operator erkent echter dat het een “parasitaire en inefficiënte manier” is om geld te verdienen, en voegt eraan toe dat het hun doel is om $ 15.000 per jaar te verdienen.
“Een integraal aspect van de verfijning van HeadCrab 2.0 ligt in de geavanceerde ontwijkingstechnieken”, aldus Aqua-onderzoekers Asaf Eitani en Nitzan Yaakov. “In tegenstelling tot zijn voorganger (HeadCrab 1.0 genaamd) maakt deze nieuwe versie gebruik van een bestandsloos laadmechanisme, wat de toewijding van de aanvaller aan stealth en doorzettingsvermogen aantoont.”
Het is de moeite waard om op te merken dat de vorige iteratie het SLAVEOF-commando gebruikte om het HeadCrab-malwarebestand te downloaden en op schijf op te slaan, waardoor artefactsporen op het bestandssysteem achterbleven.
HeadCrab 2.0 daarentegen ontvangt de inhoud van de malware via het Redis-communicatiekanaal en slaat deze op een bestandsloze locatie op in een poging het forensische spoor te minimaliseren en het veel moeilijker te detecteren.
Ook veranderd in de nieuwe variant is het gebruik van het Redis MGET-commando voor command-and-control (C2)-communicatie voor extra heimelijkheid.
“Door in te haken op dit standaardcommando krijgt de malware de mogelijkheid om deze te controleren tijdens specifieke door de aanvaller geïnitieerde verzoeken”, aldus de onderzoekers.
“Deze verzoeken worden bereikt door een speciale string als argument naar het MGET-commando te sturen. Wanneer deze specifieke string wordt gedetecteerd, herkent de malware het commando als afkomstig van de aanvaller, waardoor de kwaadaardige C2-communicatie wordt geactiveerd.”
Aqua beschrijft HeadCrab 2.0 als een escalatie in de verfijning van Redis-malware en zei dat het vermogen om kwaadaardige activiteiten te vermommen onder het mom van legitieme commando’s nieuwe detectieproblemen met zich meebrengt.
“Deze evolutie onderstreept de noodzaak van continu onderzoek en ontwikkeling op het gebied van beveiligingstools en -praktijken”, concludeerden de onderzoekers. “De betrokkenheid van de aanvaller en de daaropvolgende evolutie van de malware benadrukken de cruciale behoefte aan waakzame monitoring en het verzamelen van inlichtingen.”
