Siber güvenlik araştırmacıları, kötü amaçlı yazılımın güncellenmiş bir sürümünü ayrıntılı olarak açıkladı KafaYengeç Eylül 2021’in başından bu yana dünya çapındaki Redis veritabanı sunucularını hedef aldığı biliniyor.
Kötü amaçlı yazılımın Aqua tarafından kamuya ilk kez ifşa edilmesinden tam bir yıl sonra gerçekleşen bu gelişme, kampanyanın arkasındaki finansal motivasyona sahip tehdit aktörünün tespit eğrisinin ilerisinde kalmak için aktif olarak taktik ve tekniklerini uyarlayıp geliştirdiğinin bir işareti.
Bulut güvenlik firması, “kampanyanın virüs bulaşmış Redis sunucularının sayısını neredeyse iki katına çıkardığını” ve 2023’ün başında rapor edilen 1.200 sunucudan 1.100’ünün tehlikeye girdiğini söyledi.
HeadCrab, internete açık Redis sunucularına sızmak ve bunları yasadışı bir şekilde kripto para birimi madenciliği yapmak için bir botnet’e dönüştürmek üzere tasarlanmıştır; aynı zamanda tehdit aktörünün kabuk komutlarını yürütmesine, dosyasız çekirdek modülleri yüklemesine ve uzaktan veri sızdırmasına olanak tanıyacak şekilde erişimden yararlanır. sunucu.
Tehdit aktörünün kökenleri şu anda bilinmemekle birlikte, kötü amaçlı yazılıma yerleştirilmiş bir “mini blogda” madencilik faaliyetinin “ülkemde yasal” olduğunu ve bunu “neredeyse yasal olmadığı için” yaptıklarını belirtiyorlar. (Doğru yapılırsa) insan hayatına ve duygularına zarar vermez.”
Ancak operatör, bunun para kazanmanın “asalak ve verimsiz bir yolu” olduğunu kabul ediyor ve amaçlarının yılda 15.000 dolar kazanmak olduğunu ekliyor.
Aqua araştırmacıları Asaf Eitani ve Nitzan Yaakov, “HeadCrab 2.0’ın gelişmişliğinin ayrılmaz bir yönü, gelişmiş kaçınma tekniklerinde yatmaktadır” dedi. “Önceki sürümün (HeadCrab 1.0 adı verilen) aksine, bu yeni sürüm dosyasız bir yükleme mekanizması kullanıyor ve bu da saldırganın gizlilik ve kararlılığa olan bağlılığını gösteriyor.”
Önceki yinelemenin, HeadCrab kötü amaçlı yazılım dosyasını diske indirip kaydetmek için SLAVEOF komutunu kullandığını ve böylece dosya sisteminde yapay izler bıraktığını belirtmekte fayda var.
HeadCrab 2.0 ise kötü amaçlı yazılımın içeriğini Redis iletişim kanalı üzerinden alıyor ve adli izi en aza indirmek ve tespit edilmesini çok daha zorlaştırmak amacıyla dosyasız bir konumda saklıyor.
Yeni varyantta ayrıca, daha fazla gizlilik amacıyla komuta ve kontrol (C2) iletişimleri için Redis MGET komutunun kullanılması da değiştirildi.
Araştırmacılar, “Bu standart komuta bağlanarak, kötü amaçlı yazılım, saldırgan tarafından başlatılan belirli istekler sırasında onu kontrol etme yeteneği kazanıyor” dedi.
“Bu istekler, MGET komutuna argüman olarak özel bir dize gönderilerek gerçekleştirilir. Bu belirli dize tespit edildiğinde, kötü amaçlı yazılım, komutun saldırgandan geldiğini algılar ve kötü niyetli C2 iletişimini tetikler.”
HeadCrab 2.0’ı, Redis kötü amaçlı yazılımlarının karmaşıklığının artması olarak tanımlayan Aqua, kötü amaçlı faaliyetlerini meşru komutlar kisvesi altında maskeleme yeteneğinin, tespit için yeni sorunlar teşkil ettiğini söyledi.
Araştırmacılar, “Bu evrim, güvenlik araçları ve uygulamalarında sürekli araştırma ve geliştirmenin gerekliliğinin altını çiziyor” sonucuna vardı. “Saldırganın müdahalesi ve ardından kötü amaçlı yazılımın evrimi, dikkatli izleme ve istihbarat toplamaya yönelik kritik ihtiyacın altını çiziyor.”