Pesquisadores de segurança cibernética detalharam uma versão atualizada do malware Caranguejo que é sabido por ter uma vez que claro servidores de banco de dados Redis em todo o mundo desde o início de setembro de 2021.
O desenvolvimento, que ocorre exatamente um ano depois o malware ter sido divulgado publicamente pela Aqua, é um sinal de que o ator de prenúncio com motivação financeira por trás da campanha está ativamente adaptando e refinando suas táticas e técnicas para se manter avante da curva de detecção.
A empresa de segurança em nuvem disse que “a campanha quase dobrou o número de servidores Redis infectados”, com mais 1.100 servidores comprometidos, supra dos 1.200 relatados no início de 2023.
HeadCrab foi projetado para se infiltrar em servidores Redis expostos à Internet e colocá-los em uma botnet para mineração ilícita de criptomoedas, ao mesmo tempo em que aproveita o entrada de uma maneira que permite ao agente da prenúncio executar comandos shell, carregar módulos de kernel sem registo e exfiltrar dados para um sítio remoto. servidor.
Embora as origens do ator da prenúncio não sejam atualmente conhecidas, eles fazem questão de observar em um “miniblog” incorporado ao malware que a atividade de mineração é “permitido no meu país” e que eles fazem isso porque “quase não não prejudicará a vida e os sentimentos humanos (se muito feito).”
A operadora, no entanto, reconhece que é uma “forma parasitária e ineficiente” de lucrar numerário, acrescentando que o seu objetivo é lucrar 15.000 dólares por ano.
“Um paisagem integral da sofisticação do HeadCrab 2.0 reside em suas técnicas avançadas de evasão”, disseram os pesquisadores do Aqua Asaf Eitani e Nitzan Yaakov. “Em contraste com seu predecessor (chamado HeadCrab 1.0), esta novidade versão emprega um mecanismo de carregamento sem registo, demonstrando o compromisso do invasor com a furtividade e a persistência.”
É importante notar que a iteração anterior utilizou o comando SLAVEOF para decrescer e salvar o registo de malware HeadCrab em disco, deixando assim rastros de artefatos no sistema de arquivos.
O HeadCrab 2.0, por outro lado, recebe o teor do malware pelo via de informação Redis e o armazena em um sítio sem registo, em uma tentativa de minimizar a trilha judiciario e tornar sua detecção muito mais difícil.
Também mudou na novidade versão o uso do comando Redis MGET para comunicações de comando e controle (C2) para maior dissimulação.
“Ao conectar-se a esse comando padrão, o malware ganha a capacidade de controlá-lo durante solicitações específicas iniciadas por invasores”, disseram os pesquisadores.
“Essas solicitações são obtidas enviando uma string próprio uma vez que argumento para o comando MGET. Quando essa string específica é detectada, o malware reconhece o comando uma vez que originário do invasor, acionando a informação C2 maliciosa.”
Descrevendo o HeadCrab 2.0 uma vez que uma escalada na sofisticação do malware Redis, a Aqua disse que sua capacidade de mascarar suas atividades maliciosas sob o socapa de comandos legítimos apresenta novos problemas de detecção.
“Esta evolução sublinha a premência de investigação e desenvolvimento contínuos em ferramentas e práticas de segurança”, concluíram os investigadores. “O envolvimento do invasor e a subsequente evolução do malware destacam a premência sátira de monitoramento vigilante e coleta de lucidez”.
