Cybersicherheitsforscher haben eine aktualisierte Version der Malware HeadCrab beschrieben, die bekanntlich seit Anfang September 2021 Redis-Datenbankserver weltweit ins Visier nimmt.
Diese Entwicklung, die genau ein Jahr nach der ersten öffentlichen Offenlegung der Malware durch Aqua erfolgt, zeigt, dass die finanziell motivierte Bedrohungsgruppe hinter der Kampagne aktiv dabei ist, ihre Taktiken und Techniken anzupassen und zu verfeinern, um der Erkennung einen Schritt voraus zu sein.
Das Unternehmen für Cloud-Sicherheit sagte, dass „die Kampagne die Anzahl der infizierten Redis-Server nahezu verdoppelt hat“, mit zusätzlichen 1.100 kompromittierten Servern, gegenüber 1.200 zu Beginn des Jahres 2023.
HeadCrab ist darauf ausgelegt, internetexponierte Redis-Server zu infiltrieren und sie in ein Botnetz für das illegale Mining von Kryptowährungen zu verwandeln. Gleichzeitig nutzt der Angreifer den Zugriff auf eine Weise, die es ihm ermöglicht, Shell-Befehle auszuführen, dateilose Kernel-Module zu laden und Daten auf einen entfernten Server zu extrahieren.
Obwohl die Ursprünge des Angreifers derzeit nicht bekannt sind, betonen sie in einem „Mini-Blog“, der in die Malware eingebettet ist, dass die Mining-Aktivität „in meinem Land legal ist“ und dass sie es tun, weil es „dem menschlichen Leben und den Gefühlen fast keinen Schaden zufügt (wenn es richtig gemacht wird)“.
Der Betreiber gibt jedoch zu, dass es eine „parasitäre und ineffiziente Art“ ist, Geld zu verdienen, und fügt hinzu, dass ihr Ziel darin besteht, 15.000 US-Dollar pro Jahr zu verdienen.
„Ein wesentlicher Aspekt der Raffinesse von HeadCrab 2.0 liegt in seinen fortgeschrittenen Evasions-Techniken“, sagten Aqua-Forscher Asaf Eitani und Nitzan Yaakov. „Im Gegensatz zu seinem Vorgänger (namens HeadCrab 1.0) verwendet diese neue Version einen dateilosen Loader-Mechanismus, was das Engagement des Angreifers für Stealth und Persistenz zeigt.“
Es sei erwähnt, dass die vorherige Version den Befehl SLAVEOF verwendet hat, um die HeadCrab-Malware-Datei herunterzuladen und auf der Festplatte zu speichern, wodurch Artefaktspuren im Dateisystem hinterlassen wurden.
HeadCrab 2.0 hingegen empfängt den Inhalt der Malware über den Redis-Kommunikationskanal und speichert ihn an einem filelosen Ort, um die forensische Spur zu minimieren und die Erkennung erheblich zu erschweren.
Auch in der neuen Variante wurde der Redis-Befehl MGET für Command-and-Control (C2)-Kommunikation geändert, um noch mehr Verdecktheit zu gewährleisten.
„Indem er sich in diesen Standardbefehl einklinkt, erhält die Malware die Fähigkeit, ihn während bestimmter vom Angreifer initiierten Anfragen zu kontrollieren“, sagten die Forscher.
„Diese Anfragen werden durch das Senden einer speziellen Zeichenkette als Argument an den MGET-Befehl erreicht. Wenn diese spezielle Zeichenkette erkannt wird, erkennt die Malware den Befehl als vom Angreifer stammend und löst die bösartige C2-Kommunikation aus.“
Aqua beschrieb HeadCrab 2.0 als eine Eskalation in der Raffinesse von Redis-Malware und sagte, dass seine Fähigkeit, seine bösartigen Aktivitäten unter dem Deckmantel legitimer Befehle zu verbergen, neue Probleme in der Erkennung bereitet.
„Diese Entwicklung unterstreicht die Notwendigkeit kontinuierlicher Forschung und Entwicklung in Sicherheitstools und -praktiken“, schlossen die Forscher. „Das Engagement des Angreifers und die anschließende Weiterentwicklung der Malware verdeutlichen den kritischen Bedarf an wachsamer Überwachung und Informationsbeschaffung.“