Au moins 1 200 serveurs de base de données Redis dans le monde ont été regroupés dans un botnet utilisant une « menace insaisissable et grave » baptisée HeadCrab depuis début septembre 2021.
« Cet acteur de menace avancé utilise un malware de pointe, sur mesure, indétectable par les solutions antivirus sans agent et traditionnelles pour compromettre un grand nombre de serveurs Redis », a déclaré Asaf Eitani, chercheur en sécurité chez Aqua. m’a dit dans un rapport de mercredi.
À ce jour, une concentration importante d’infections a été enregistrée en Chine, en Malaisie, en Inde, en Allemagne, au Royaume-Uni et aux États-Unis. Les origines de l’acteur menaçant sont actuellement inconnues.
Les découvertes surviennent deux mois après que la société de sécurité cloud a fait la lumière sur un malware basé sur Go nommé Redigo qui compromettait les serveurs Redis.
L’attaque est conçue pour cibler les serveurs Redis qui sont exposés à Internet, suivie de l’émission d’un Commande SLAVEOF d’un autre serveur Redis qui est déjà sous le contrôle de l’adversaire.
Ce faisant, le serveur « maître » malveillant lance une synchronisation du serveur nouvellement piraté pour télécharger la charge utile malveillante, qui contient le logiciel malveillant sophistiqué HeadCrab.
« L’attaquant semble cibler principalement les serveurs Redis et possède une compréhension et une expertise approfondies des modules et des API Redis, comme le démontre le malware », a noté Eitani.
Bien que l’objectif final de l’utilisation du logiciel malveillant résident en mémoire soit de détourner les ressources système pour l’extraction de crypto-monnaie, il se vante également de nombreuses autres options qui permettent à l’auteur de la menace d’exécuter des commandes shell, de charger des modules de noyau sans fichier et d’exfiltrer des données vers une télécommande. serveur.
De plus, une analyse de suivi du logiciel malveillant Redigo a révélé qu’il utilisait la même technique maître-esclave pour la prolifération, et non la faille d’échappement du bac à sable Lua (CVE-2022-0543) comme précédemment divulgué.
Il est recommandé aux utilisateurs de s’abstenir d’exposer les serveurs Redis directement à Internet, de désactiver la fonctionnalité « SLAVEOF » dans leurs environnements si elle n’est pas utilisée et de configurer les serveurs pour n’accepter que les connexions d’hôtes de confiance.
Eitani a déclaré que « HeadCrab persistera à utiliser des techniques de pointe pour pénétrer les serveurs, soit en exploitant des erreurs de configuration ou des vulnérabilités ».
