Les chercheurs en cybersécurité ont détaillé une version mise à jour du malware Tête de crabe qui est connu pour cibler les serveurs de bases de données Redis à travers le monde depuis début septembre 2021.
Cette évolution, qui survient exactement un an après que le malware a été divulgué publiquement pour la première fois par Aqua, est le signe que l’acteur malveillant motivé par des raisons financières à l’origine de la campagne adapte et affine activement ses tactiques et techniques pour garder une longueur d’avance sur la courbe de détection.
La société de sécurité cloud dit que « la campagne a presque doublé le nombre de serveurs Redis infectés », avec 1 100 serveurs compromis supplémentaires, contre 1 200 signalés début 2023.
HeadCrab est conçu pour infiltrer les serveurs Redis exposés à Internet et les transformer en un botnet pour extraire illégalement des crypto-monnaies, tout en exploitant également l’accès de manière à permettre à l’acteur malveillant d’exécuter des commandes shell, de charger des modules de noyau sans fichier et d’exfiltrer des données vers un serveur distant. serveur.
Bien que les origines des auteurs de la menace ne soient pas connues pour l’instant, ils se font un devoir de noter dans un « mini blog » intégré au malware que l’activité minière est « légale dans mon pays » et qu’ils le font parce que « ce n’est presque pas le cas ». Cela ne nuira pas à la vie et aux sentiments humains (si c’est bien fait). »
L’opérateur reconnaît cependant qu’il s’agit d’un « moyen parasite et inefficace » de gagner de l’argent, ajoutant que son objectif est de gagner 15 000 dollars par an.
« Un aspect essentiel de la sophistication de HeadCrab 2.0 réside dans ses techniques avancées d’évasion », ont déclaré les chercheurs d’Aqua Asaf Eitani et Nitzan Yaakov. « Contrairement à son prédécesseur (nommé HeadCrab 1.0), cette nouvelle version utilise un mécanisme de chargement sans fichier, démontrant l’engagement de l’attaquant en faveur de la furtivité et de la persistance. »
Il convient de noter que l’itération précédente utilisait le Commande ESCLAVEOF pour télécharger et enregistrer le fichier malveillant HeadCrab sur le disque, laissant ainsi des traces d’artefacts sur le système de fichiers.
HeadCrab 2.0, quant à lui, reçoit le contenu du malware via le canal de communication Redis et le stocke dans un emplacement sans fichier dans le but de minimiser la trace médico-légale et de la rendre beaucoup plus difficile à détecter.
L’utilisation du Redis a également changé dans la nouvelle variante. Commande MGET pour les communications de commandement et de contrôle (C2) pour une plus grande discrétion.
« En s’accrochant à cette commande standard, le malware acquiert la capacité de le contrôler lors de requêtes spécifiques lancées par un attaquant », ont expliqué les chercheurs.
« Ces requêtes sont obtenues en envoyant une chaîne spéciale comme argument à la commande MGET. Lorsque cette chaîne spécifique est détectée, le malware reconnaît la commande comme provenant de l’attaquant, déclenchant la communication C2 malveillante. »
Décrivant HeadCrab 2.0 comme une escalade dans la sophistication des logiciels malveillants Redis, Aqua a déclaré que sa capacité à masquer ses activités malveillantes sous couvert de commandes légitimes pose de nouveaux problèmes de détection.
« Cette évolution souligne la nécessité d’une recherche et d’un développement continus en matière d’outils et de pratiques de sécurité », ont conclu les chercheurs. « L’engagement de l’attaquant et l’évolution ultérieure du malware mettent en évidence la nécessité cruciale d’une surveillance vigilante et de la collecte de renseignements. »