HeadCrab 2.0: Una Nuova Minaccia Fileless Targettizza i Server Redis per il Crypto Mining
Gli esperti di sicurezza informatica hanno recentemente descritto una versione aggiornata del malware HeadCrab, noto per prendere di mira i server database Redis in tutto il mondo dal settembre 2021.
La nuova versione del malware, denominata HeadCrab 2.0, rappresenta un segno che il threat actor, motivato finanziariamente, dietro la campagna sta adattando e perfezionando attivamente le proprie tattiche per restare un passo avanti alla rilevazione.
La società di sicurezza cloud Aqua ha rivelato che “la campagna ha quasi raddoppiato il numero di server Redis infetti,” con ulteriori 1.100 server compromessi, rispetto ai 1.200 segnalati all’inizio del 2023. HeadCrab Redis Malware
HeadCrab è progettato per infiltrare i server Redis esposti su Internet e trasformarli in un botnet per il mining illecito di criptovalute. Inoltre, sfrutta l’accesso in modo che il threat actor possa eseguire comandi shell, caricare moduli kernel senza file ed esfiltrare dati su un server remoto.
Mentre le origini del threat actor non sono attualmente conosciute, è interessante notare che inseriscono un “mini blog nel malware, sottolineando che l’attività di mining è legale nel mio paese” e che lo fanno perché “non danneggia quasi la vita e i sentimenti umani (se fatto correttamente).
L’operatore, tuttavia, riconosce che è un modo parassitario ed inefficiente di fare soldi, aggiungendo che mira a guadagnare $15.000 all’anno.
Un aspetto fondamentale della sofisticatezza di HeadCrab 2.0 risiede nelle sue avanzate tecniche di elusione, affermano i ricercatori di Aqua Asaf Eitani e Nitzan Yaakov.
Contrariamente al suo predecessore (chiamato HeadCrab 1.0), questa nuova versione utilizza un meccanismo di caricamento senza file, dimostrando l’impegno dell’attaccante per la furtività e la persistenza.
È interessante notare che l’iterazione precedente utilizzava il comando SLAVEOF per scaricare e salvare il file malware HeadCrab su disco, lasciando tracce artefatte sul file system.
HeadCrab 2.0, d’altra parte, riceve il contenuto del malware attraverso il canale di comunicazione Redis e lo memorizza in una posizione senza file per minimizzare la traccia forense e rendere molto più difficile la rilevazione.
Anche cambiato nella nuova variante è l’uso del comando Redis MGET per le comunicazioni di comando e controllo (C2) per una maggiore segretezza.
Collegandosi a questo comando standard, il malware acquisisce la capacità di controllarlo durante specifiche richieste avviate dall’attaccante, dicono i ricercatori. Queste richieste vengono effettuate inviando una stringa speciale come argomento al comando MGET.
Quando questa stringa specifica viene rilevata, il malware riconosce il comando come proveniente dall’attaccante, attivando la maliziosa comunicazione C2.
Descrivendo HeadCrab 2.0 come un’escalation nella sofisticatezza del malware Redis, Aqua afferma che la sua capacità di mascherare le sue attività maliziose sotto le sembianze di comandi legittimi pone nuovi problemi per la rilevazione.
Questa evoluzione sottolinea la necessità di ricerca e sviluppo continui in strumenti e pratiche di sicurezza,” concludono i ricercatori.
Il coinvolgimento dell’attaccante e il successivo sviluppo del malware evidenziano la critica necessità di monitoraggio e raccolta di informazioni vigilanti.