Gli esperti di cybersecurity hanno esaminato una versione aggiornata del malware HeadCrab, noto per prendere di mira i server di database Redis in tutto il mondo dal settembre 2021. Questo sviluppo, a un anno dalla prima divulgazione pubblica del malware da parte di Aqua, indica che l’attore di minaccia finanziariamente motivato dietro la campagna sta attivamente adattando e affinando le sue tattiche e tecniche per rimanere avanti nella curva di rilevamento.
La società di sicurezza cloud ha rivelato che “la campagna ha quasi raddoppiato il numero di server Redis infetti”, con 1.100 server compromessi in più, rispetto ai 1.200 segnalati all’inizio del 2023.
HeadCrab è progettato per infiltrarsi nei server Redis esposti su internet e costringerli a entrare in un botnet per il mining illegale di criptovalute, sfruttando al contempo l’accesso in modo da consentire all’attore di minaccia di eseguire comandi shell, caricare moduli kernel senza file e trasferire dati a un server remoto.
Un aspetto fondamentale della sofisticazione di HeadCrab 2.0 risiede nelle sue avanzate tecniche di evasione. A differenza del suo predecessore (HeadCrab 1.0), questa nuova versione impiega un meccanismo di caricamento senza file, dimostrando l’impegno dell’attaccante verso la furtività e la persistenza.
Da notare che la precedente iterazione utilizzava il comando SLAVEOF per scaricare e salvare il file malware HeadCrab su disco, lasciando tracce di artefatti sul file system. HeadCrab 2.0, invece, riceve il contenuto del malware attraverso il canale di comunicazione di Redis e lo memorizza in una posizione senza file nel tentativo di minimizzare la scia forense e renderlo molto più difficile da rilevare.
La nuova variante cambia anche l’uso del comando MGET di Redis per le comunicazioni di comando e controllo (C2) per una maggiore segretezza. “Collegandosi a questo comando standard, il malware ottiene la capacità di controllarlo durante specifiche richieste iniziate dall’attaccante”, hanno detto i ricercatori.
Descrivendo HeadCrab 2.0 come un’escalation nella sofisticazione del malware Redis, Aqua ha affermato che la sua capacità di mascherare le sue attività malevoli sotto le spoglie di comandi legittimi pone nuovi problemi per il rilevamento. “Questa evoluzione sottolinea la necessità di continua ricerca e sviluppo in strumenti e pratiche di sicurezza”, hanno concluso i ricercatori.
