Varian Malware 'HeadCrab' Merampas Ribuan Server

Varian Malware 'HeadCrab' Merampas Ribuan Server

Posted by : Admin , Dec 22, 2023
Malware HeadCrab, ancaman cryptomining yang dikenal karena menggabungkan perangkat yang terinfeksi ke dalam botnet untuk berbagai serangan, telah muncul kembali dengan varian baru, seperti yang diungkapkan oleh para peneliti dari Aqua Security di BLACK HAT EUROPE 2023 di London. Versi terbaru ini, yang telah menginfeksi sekitar 1.100 server, memungkinkan akses tidak sah ke server sumber terbuka Redis. Meskipun bukan rootkit konvensional, malware ini menunjukkan perilaku seperti rootkit dengan mengontrol respons dan memodifikasinya, sehingga hampir tidak terlihat. Varian terbaru mencakup pembaruan kecil, memungkinkan penyerang meningkatkan penyembunyian dengan menghapus perintah khusus dan memasukkan enkripsi ke dalam infrastruktur perintah dan kontrol. Khususnya, pencipta malware, yang diidentifikasi sebagai Ice9, mengelola "blog mini" unik di dalam malware, di mana rincian teknis dibagikan bersama dengan alamat email Proton Mail anonim. Meskipun upaya untuk mengungkap identitas pembuatnya tidak berhasil, Ice9 terlibat dalam percakapan email dengan para peneliti Aqua Security, yang menegaskan bahwa malware tersebut tidak mengganggu kinerja server dan dapat menghilangkan infeksi lainnya. Ice9 memuji para peneliti di blog mini setelah mendeteksi varian kedua, menyoroti nuansa teknis dan penghapusan perintah khusus. Dengan Ice9 sebagai satu-satunya pengguna dan pengendali infrastruktur HeadCrab, malware menginfeksi server Redis melalui perintah SLAVEOF, mengunduh modul berbahaya dan mengeksekusi cryptominer dan file konfigurasi. Aqua Security merekomendasikan organisasi untuk memindai kerentanan, mengatasi kesalahan konfigurasi, dan menggunakan mode terproteksi di Redis untuk mengurangi risiko infeksi HeadCrab.

Sumber : https://www.darkreading.com/cyberattacks-data-breaches/headcrab-malware-variants-commandeerthousands-of-servers?&web_view=true