Несколько дней назад исследователи из компании Aqua Security опубликовали данные об обновлённой версии вредоносной программы HeadCrab, которая с сентября 2021 года атакует серверы баз данных Redis по всему миру. О появлении обновлённого вредоноса стало известно ровно через год после первого публичного описания HeadCrab.
Эксперты Aqua Security сообщили, что за прошедшее время кампания по заражению серверов Redis почти удвоилась — теперь количество скомпрометированных систем достигло 2300. Для сравнения: в начале 2023 года фиксировалось около 1200 инфицированных хостов, пишут в Securitylab.
Вредонос HeadCrab был разработан специально для проникновения в открытые сети Redis и использования их вычислительных мощностей для незаконной добычи криптовалюты. Помимо этого, злоумышленники получают доступ к заражённым машинам для выполнения произвольных команд, загрузки бесфайловых модулей в ядро ОС и эксфильтрации данных.
Несмотря на масштаб кампании, личности преступников пока не установлены. Примечательно, что в саму программу HeadCrab встроен мини-блог, в котором злоумышленники делятся новостями о себе и своём вредоносе. Там хакеры сообщают о том, что их деятельность хоть и можно назвать паразитической, тем не менее, она не вредит людям. В качестве цели злоумышленники сообщили о желании зарабатывать на майнинге $15 000 в год (~115 тысяч рублей в месяц).
В HeadCrab 2.0 используются усложнённые методы сокрытия вредоносной активности. В отличие от первой версии, теперь для развёртывания вредоноса применяется бесфайловая загрузка, что снижает количество следов в файловой системе и затрудняет анализ.
Также был изменён протокол связи с командным сервером — вместо отдельных команд теперь используется стандартная команда Redis MGET. Это позволяет маскировать трафик под легитимный.
По мнению исследователей Aqua Security, HeadCrab 2.0 демонстрирует значительное усложнение механизмов сокрытия атаки по сравнению с первой версией. Это создаёт дополнительные трудности для систем обнаружения на базе поведенческого анализа.