HeadCrab 2.0 Dosyasız Oluyor, Kripto Madenciliği için Redis Sunucularını Hedefliyor
Siber güvenlik araştırmacıları, Eylül 2021'in başından bu yana dünyanın dört bir yanındaki Redis veritabanı sunucularını hedef aldığı bilinen HeadCrab adlı kötü amaçlı yazılımın güncellenmiş bir sürümünü ayrıntılı olarak açıkladı.
Kötü amaçlı yazılımın Aqua tarafından ilk kez kamuya açıklanmasından tam bir yıl sonra gelen gelişme, kampanyanın arkasındaki finansal olarak motive olmuş tehdit aktörünün, tespit eğrisinin önünde kalmak için taktiklerini ve tekniklerini aktif olarak uyarladığının ve geliştirdiğinin bir işaretidir.
Bulut güvenlik firması, 2023'ün başında bildirilen 1.200'den 1.100 güvenliği ihlal edilmiş sunucuyla "kampanyanın virüslü Redis sunucularının sayısını neredeyse iki katına çıkardığını" söyledi.
HeadCrab, internete maruz kalan Redis sunucularına sızmak ve bunları yasa dışı kripto para madenciliği yapmak için bir botnet'e dönüştürmek ve aynı zamanda tehdit aktörünün kabuk komutlarını yürütmesine, dosyasız çekirdek modülleri yüklemesine ve uzak bir sunucuya veri sızdırmasına izin verecek şekilde erişimden yararlanmak için tasarlanmıştır.
Tehdit aktörünün kökenleri şu anda bilinmemekle birlikte, kötü amaçlı yazılıma gömülü bir "mini blogda" madencilik faaliyetinin "ülkemde yasal" olduğunu ve bunu "insan hayatına ve duygularına neredeyse zarar vermediği için yaptıklarını belirtmek gerekir.
Ancak operatör, bunun para kazanmanın "parazit ve verimsiz bir yolu" olduğunu kabul ediyor ve amaçlarının yılda 15.000 dolar kazanmak olduğunu da sözlerine ekliyor.
Aqua araştırmacıları Asaf Eitani ve Nitzan Yaakov, "HeadCrab 2.0'ın karmaşıklığının ayrılmaz bir yönü, gelişmiş kaçınma tekniklerinde yatıyor" dedi. "Selefinin (HeadCrab 1.0 olarak adlandırılan) aksine, bu yeni sürüm, saldırganın gizlilik ve kalıcılığa olan bağlılığını gösteren dosyasız bir yükleyici mekanizması kullanıyor."
Önceki yinelemenin, HeadCrab kötü amaçlı yazılım dosyasını indirmek ve diske kaydetmek için SLAVEOF komutunu kullandığını ve böylece dosya sisteminde yapay izler bıraktığını belirtmekte fayda var.
Öte yandan HeadCrab 2.0, kötü amaçlı yazılımın içeriğini Redis iletişim kanalı üzerinden alır ve adli izi en aza indirmek ve tespit edilmesini çok daha zor hale getirmek amacıyla dosyasız bir konumda saklar.
Yeni varyantta ayrıca, daha fazla gizlilik için komuta ve kontrol (C2) iletişimleri için Redis MGET komutunun kullanılması da değiştirildi.
Araştırmacılar, "Bu standart komuta bağlanarak, kötü amaçlı yazılım, saldırgan tarafından başlatılan belirli istekler sırasında onu kontrol etme yeteneği kazanıyor" dedi.
"Bu istekler, MGET komutuna argüman olarak özel bir dize gönderilerek elde edilir. Bu belirli dize algılandığında, kötü amaçlı yazılım, komutun saldırgandan geldiğini algılar ve kötü amaçlı C2 iletişimini tetikler."
HeadCrab 2.0'ı Redis kötü amaçlı yazılımının karmaşıklığında bir artış olarak nitelendiren Aqua, kötü niyetli faaliyetlerini meşru komutlar kisvesi altında gizleme yeteneğinin tespit için yeni sorunlar oluşturduğunu söyledi.
Araştırmacılar, "Bu evrim, güvenlik araçları ve uygulamalarında sürekli araştırma ve geliştirme gerekliliğinin altını çiziyor" dedi. "Saldırganın katılımı ve ardından kötü amaçlı yazılımın evrimi, dikkatli izleme ve istihbarat toplama için kritik ihtiyacı vurgulamaktadır."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Amaçlı NPM Paketleri, SSH Arka Kapısı ile Geliştiricilerin Ethereum Cüzdanlarını Hedef Alıyor
Binance, Kripto Para Kullanıcılarını Hedef Alan Artan Clipper Kötü Amaçlı Yazılım Saldırılarına Karşı Uyardı
Rust Tabanlı P2PInfect Botnet, Madenci ve Fidye Yazılımı Yükleriyle Gelişiyor
ABD, Rusya'nın Yaptırımlardan Kaçmasına Yardım Ettiği İçin 3 Kripto Para Borsasına Yaptırım Uyguladı
Yeni Kimlik Avı Kiti, Kripto Para Birimi Kullanıcılarını Hedeflemek için SMS ve Sesli Aramalardan Yararlanıyor
Kuzey Koreli Bilgisayar Korsanları Kötü Amaçlı NPM Paketleriyle Geliştiricileri Hedef Alıyor
RustDoor macOS Backdoor, Kripto Para Firmalarını Sahte İş Teklifleriyle Hedefliyor
BTC-e ile Bağlantılı Belarus Vatandaşı 4 Milyar Dolarlık Kripto Para Aklama Suçundan 25 Yıl Hapis Cezasıyla Karşı Karşıya