Οι ερευνητές στον τομέα της κυβερνοασφάλειας διαθέτουν λεπτομερή έκδοση του κακόβουλου λογισμικού HeadCrab, το οποίο επιτίθεται σε servers βάσεων δεδομένων Redis παγκοσμίως από τις αρχές του Σεπτεμβρίου 2021.
Η ανάπτυξη του κακόβουλου λογισμικού “HeadCrab 2.0” ανακοινώθηκε περίπου ένα χρόνο μετά την πρώτη αποκάλυψη της Aqua. Η εταιρεία ασφάλειας στον τομέα των cloud αναφέρει ότι αυτή η επίθεση έχει σχεδόν διπλασιάσει τον αριθμό των μολυσμένων servers Redis, φθάνοντας τους 1.100. Το HeadCrab 2.0 σχεδιάστηκε για να διεισδύει σε Redis, δημιουργώντας ένα botnet για παράνομη εξόρυξη κρυπτονομισμάτων. Χρησιμοποιεί προηγμένες τεχνικές αποφυγής και προσπαθεί να διατηρήσει την προηγούμενη επιτυχία του.
Δείτε περισσότερα: Bigpanzi hackers: Το botnet τους στοχεύει Android TV boxes
Παρότι η προέλευση του hacker παραμένει άγνωστη, οι αναλυτές εντόπισαν ένα “mini blog” στο κακόβουλο λογισμικό, όπου ο δράστης υποστηρίζει ότι η εξόρυξη είναι νόμιμη στη χώρα του και υπερηφανεύεται για τις επιπτώσεις της στην ανθρώπινη ζωή. Ωστόσο, αναγνωρίζει ότι πρόκειται για έναν παρασιτικό και αναποτελεσματικό τρόπο εισοδήματος, με στόχο να κερδίζει 15.000 $ ετησίως.
Αξίζει να σημειωθεί ότι η προηγούμενη επίθεση χρησιμοποίησε την εντολή SLAVEOF για να λάβει και να αποθηκεύσει το κακόβουλο λογισμικό HeadCrab στον δίσκο, επιτρέποντας έτσι στο HeadCrab 2.0 να εμφανιστεί ως μια πιο εξελιγμένη μορφή κακόβουλου λογισμικού Redis, προσπαθώντας να αποφύγει την ανίχνευση και να ελαχιστοποιήσει τα ιατροδικαστικά ίχνη. Ανακτά πληροφορίες μέσω του καναλιού επικοινωνίας Redis και τις αποθηκεύει σε ανέντιμες τοποθεσίες.
Η αλλαγή στη χρήση της εντολής Redis MGET προσφέρει επιπλέον κάλυψη, καθώς μετατρέπει τα αιτήματα ελέγχου (C2) για να δυσκολεύει τον εντοπισμό. Οι ειδικές συμβολοσειρές ενεργοποιούν την κακόβουλη επικοινωνία με τον hacker, ενισχύοντας τον έλεγχο του κακόβουλου λογισμικού. Η εταιρεία Aqua το περιγράφει ως αυξημένη πολυπλοκότητα και υπογραμμίζει την ανάγκη για συνεχή έρευνα στην κυβερνοασφάλεια. Η ικανότητά του να μιμείται νόμιμες εντολές δημιουργεί προβλήματα στον εντοπισμό του.
Διαβάστε επίσης: Akira ransomware: Κυβερνοεπίθεση στο σύστημα έκτακτης ανάγκης της Κομητείας Bucks
Οι ερευνητές τονίζουν τη σημασία συνεχούς παρακολούθησης και συλλογής πληροφοριών για την αντιμετώπιση των εξελίξεων στον κυβερνοχώρο.
Πηγή: thehackernews.com
