HeadCrab 2.0 Dosyasız Oluyor, Kripto Madenciliği için Redis Sunucularını Hedefliyor

Kötü amaçlı yazılımın Aqua tarafından ilk kez kamuya açıklanmasından tam bir yıl sonra gelen gelişme, kampanyanın arkasındaki finansal olarak motive olmuş tehdit aktörünün, tespit eğrisinin önünde kalmak için taktiklerini ve tekniklerini aktif olarak uyarladığının ve geliştirdiğinin bir işaretidir.

Bulut güvenlik firması, 2023'ün başında bildirilen 1.200'den 1.100 güvenliği ihlal edilmiş sunucuyla "kampanyanın virüslü Redis sunucularının sayısını neredeyse iki katına çıkardığını" söyledi.

HeadCrab, internete maruz kalan Redis sunucularına sızmak ve bunları yasa dışı kripto para madenciliği yapmak için bir botnet'e dönüştürmek ve aynı zamanda tehdit aktörünün kabuk komutlarını yürütmesine, dosyasız çekirdek modülleri yüklemesine ve uzak bir sunucuya veri sızdırmasına izin verecek şekilde erişimden yararlanmak için tasarlanmıştır.

Tehdit aktörünün kökenleri şu anda bilinmemekle birlikte, kötü amaçlı yazılıma gömülü bir "mini blogda" madencilik faaliyetinin "ülkemde yasal" olduğunu ve bunu "insan hayatına ve duygularına neredeyse zarar vermediği için yaptıklarını belirtmek gerekir.

Ancak operatör, bunun para kazanmanın "parazit ve verimsiz bir yolu" olduğunu kabul ediyor ve amaçlarının yılda 15.000 dolar kazanmak olduğunu da sözlerine ekliyor.

Aqua araştırmacıları Asaf Eitani ve Nitzan Yaakov, "HeadCrab 2.0'ın karmaşıklığının ayrılmaz bir yönü, gelişmiş kaçınma tekniklerinde yatıyor" dedi. "Selefinin (HeadCrab 1.0 olarak adlandırılan) aksine, bu yeni sürüm, saldırganın gizlilik ve kalıcılığa olan bağlılığını gösteren dosyasız bir yükleyici mekanizması kullanıyor."

Önceki yinelemenin, HeadCrab kötü amaçlı yazılım dosyasını indirmek ve diske kaydetmek için SLAVEOF komutunu kullandığını ve böylece dosya sisteminde yapay izler bıraktığını belirtmekte fayda var.

Öte yandan HeadCrab 2.0, kötü amaçlı yazılımın içeriğini Redis iletişim kanalı üzerinden alır ve adli izi en aza indirmek ve tespit edilmesini çok daha zor hale getirmek amacıyla dosyasız bir konumda saklar.

Yeni varyantta ayrıca, daha fazla gizlilik için komuta ve kontrol (C2) iletişimleri için Redis MGET komutunun kullanılması da değiştirildi.

Araştırmacılar, "Bu standart komuta bağlanarak, kötü amaçlı yazılım, saldırgan tarafından başlatılan belirli istekler sırasında onu kontrol etme yeteneği kazanıyor" dedi.

"Bu istekler, MGET komutuna argüman olarak özel bir dize gönderilerek elde edilir. Bu belirli dize algılandığında, kötü amaçlı yazılım, komutun saldırgandan geldiğini algılar ve kötü amaçlı C2 iletişimini tetikler."

HeadCrab 2.0'ı Redis kötü amaçlı yazılımının karmaşıklığında bir artış olarak nitelendiren Aqua, kötü niyetli faaliyetlerini meşru komutlar kisvesi altında gizleme yeteneğinin tespit için yeni sorunlar oluşturduğunu söyledi.

Araştırmacılar, "Bu evrim, güvenlik araçları ve uygulamalarında sürekli araştırma ve geliştirme gerekliliğinin altını çiziyor" dedi. "Saldırganın katılımı ve ardından kötü amaçlı yazılımın evrimi, dikkatli izleme ve istihbarat toplama için kritik ihtiyacı vurgulamaktadır."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği