HeadCrab-Malware
Eine neue, höchst heimliche Malware namens HeadCrab hat Redis-Server online infiziert und ein Botnetz aufgebaut, um die Kryptowährung Monero abzubauen. Die Th HeadCrabe-Malware hat erfolgreich über 1.200 Redis-Server kompromittiert, die sie verwendet, um nach weiteren Zielen zu suchen. Die ausgeklügelten Bedrohungsakteure hinter HeadCrab haben maßgeschneiderte Malware entwickelt, die hochentwickelt ist und von herkömmlichen Anti-Malware-Lösungen oder agentenlosen Systemen nicht leicht erkannt werden kann. Details über die HeadCrab-Malware und die bedrohlichen Operationen wurden in einem Bericht von Infosec-Forschern veröffentlicht.
Von HeadCrab-Malware ausgenutzter Infektionsvektor
Die Angreifer hinter diesem Botnetz nutzen eine Schwachstelle in Redis-Servern aus, die für die interne Verwendung innerhalb des Netzwerks einer Organisation konzipiert sind und standardmäßig keine Authentifizierung aufweisen. Wenn Administratoren versehentlich oder absichtlich ihre Server nicht ordnungsgemäß sichern und über das Internet zugänglich machen, können die Angreifer leicht die Kontrolle erlangen, indem sie bedrohliche Tools oder Malware verwenden. Sobald sie Zugriff auf diese nicht authentifizierten Server haben, geben die Angreifer einen „SLAVEOF“-Befehl aus, um den Server mit einem Master-Server unter ihrer Kontrolle zu synchronisieren, wodurch sie die HeadCrab-Malware auf dem neu gekaperten System installieren können.
Die schädlichen Fähigkeiten von HeadCrab Malware
Einmal installiert und aktiviert, gibt HeadCrab den Angreifern alle notwendigen Fähigkeiten, um den Zielserver zu übernehmen und ihn in ihr Krypto-Mining-Botnetz zu integrieren. Es arbeitet im Speicher kompromittierter Geräte, um Anti-Malware-Scans zu umgehen. Die HeadCrab-Malware löscht alle Protokolle und kommuniziert nur mit anderen Servern, die von ihren Betreibern kontrolliert werden, um der Entdeckung zu entgehen.
Die Angreifer kommunizieren mit authentischen IP-Adressen, hauptsächlich mit ihren anderen kontaminierten Servern, um der Erkennung zu entgehen und das Risiko zu minimieren, von Sicherheitslösungen blockiert zu werden. Zudem basiert die HeadCrab-Malware meist auf Redis-Prozessen. Diese Prozesse werden wahrscheinlich nicht als bedrohlich oder verdächtig angesehen. Die Payloads werden über „memfd“ geladen, reine Speicherdateien, während Kernelmodule direkt aus dem Speicher geladen werden, um Schreibvorgänge auf der Festplatte zu vermeiden.
Die Analyse der Monero-Krypto-Wallet-Adresse im Zusammenhang mit der HeadCrab-Malware-Kampagne hat ergeben, dass die Angreifer einen ungefähren Jahresgewinn von 4.500 US-Dollar pro Mitarbeiter erzielen. Wenn die Schätzungen korrekt sind, zeigt sich ein drastischer Anstieg gegenüber den typischen 200 USD pro Arbeiter, die bei anderen dieser Betriebstypen beobachtet werden.
