تهدف برامج Botnet الضارة ذات السمات الشبيهة بالديدان إلى أداة Redis Storage المشهورة

شنت مجموعة قراصنة مجهولة الهوية هجومًا باستخدام سلالة فريدة وجديرة بالملاحظة من البرامج الضارة التي تستهدف عمليات نشر Redis المتاحة للجمهور. Redis هو الاختيار الشائع للشركات الكبرى مثل Amazon و Hulu و Tinder لتخزين البيانات. الميزة الأكثر لفتًا للانتباه في البرامج الضارة هي سلوكها الشبيه بالديدان ، مما يسمح لها بالانتشار الذاتي أو التكرار عبر الأنظمة دون تدخل بشري بعد الوصول إلى شبكة ، كما أوضح الباحثون.

واجه باحثو الأمن مؤخرًا نوعًا مثيرًا للقلق من البرامج الضارة التي يطلق عليها اسم " P2Pinfect ". وقد لفت انتباههم قدرته الرائعة على الانتشار وإصابة عمليات نشر Redis الضعيفة الأخرى بشكل مستقل. يثير سلوك الانتشار الذاتي هذا مخاوف كبيرة لأنه يمكن أن يمكّن البرامج الضارة من توسيع مدى وصولها والتأثير بسرعة. على الرغم من تحقيقاتهم المكثفة ، لم يحدد الباحثون الأهداف المحددة لهذه البرامج الضارة التي تشبه الروبوتات ، تاركين الغرض وراء نشرها يكتنفه الغموض. أثارت التداعيات المحتملة لمثل هذا التهديد المتقدم والمستقل إشارات حمراء في مجتمع الأمن السيبراني ، مما يستدعي مزيدًا من التحليل واليقظة للحماية من الهجمات المحتملة.

حللت الوحدة 42 في Palo Alto حملة القرصنة ، وكشف تقريرهم ، الذي صدر في 19 يوليو ، عن استخدام البرامج الضارة لـ CVE-2022-0543 للسيطرة على تطبيقات Redis واستيعابها في شبكة الروبوتات. يتكون هذا الروبوت من مجموعة من أجهزة الكمبيوتر المصابة تحت سيطرة المتسلل. في حين أن نفس الثغرة كانت عرضة للاستغلال السابق لاستيعاب الأجهزة في شبكة Muhstik botnet في عام 2022 ، يبدو أن أحدث البرامج الضارة ، P2PInfect ، مرتبطة بشبكة خبيثة مميزة وغير مرتبطة بـ Muhstik ، وفقًا لنتائج الوحدة 42.
يتماشى التقرير مع الكثير من النتائج التي توصلت إليها الوحدة 42 ، وكشف أن البرامج الضارة مشفرة بلغة برمجة Rust ويحاول إصابة المضيفين الآخرين بمجرد اتصالهم بشبكة الروبوتات.

ومع ذلك ، تم اكتشاف اثنين من الفروق البارزة. أولاً ، لم تستغل عينة البرامج الضارة التي حللها باحثوهم CVE-2022-0543 كنقطة وصول أولية. ثانيًا ، استهدفت P2Pinfect كلاً من مثيلات Windows و Linux Redis. وأشاروا إلى أن استخدام لغة البرمجة Rust سمح للبرامج الضارة بالعمل على كل من أنظمة Windows و Linux بينما كان من الصعب على المحللين تحليل الكود. لا يزال الغرض من البرامج الضارة وهوية الأشخاص الذين يقفون وراء هذه البرامج الضارة غير واضحين. على الرغم من أن الأنظمة المخترقة تسحب "ملف عامل منجم" ، إلا أنه لا يبدو أنها تؤدي مهام التنقيب عن العملات المشفرة. يمكن أن يكون هذا "المُعدِّن" عنصرًا نائبًا لتوزيع التنقيب عن العملات المشفرة في المستقبل بواسطة الجهة الفاعلة المهددة. وبالمثل ، لاحظت الوحدة 42 حالات لكلمة "عامل منجم" في مجموعة أدوات P2PInfect المهددة ولكنها لم تجد دليلًا قاطعًا على عمليات التعدين المشفّر.

البرمجيات الخبيثة لها غرض ذو شقين. أولاً ، يسمح للمتسللين بحماية خادم Redis من الجهات الفاعلة الأخرى التي تحاول اختراقه مع ضمان استمرار الخادم في العمل بشكل شرعي ، وبالتالي تجنب اكتشافه من قبل أصحابه. عند الإصابة ، يصبح الخادم المخترق مكونًا لشبكة الروبوتات من نظير إلى نظير. يتيح هذا التكوين الاتصال السلس بين جميع عقد الروبوتات دون الحاجة إلى خادم تحكم وتحكم مركزي (C2). يقترح الباحثون أن الأوامر يتم نشرها عن طريق إرسال رسائل موقعة عبر الشبكة. تستهدف البرامج الضارة مضيفين إضافيين لنشر العدوى من خلال جمع قائمة بالمستخدمين وعناوين IP ومفاتيح الوصول لبروتوكول اتصالات شبكة SSH. بمجرد حصول مضيف جديد على حق الوصول ، يكرر البرنامج الضار نفسه كما لو أنه أصاب الخادم المخترق في البداية. يتضمن ذلك إحضار نسخة من نفسه من خادم HTTP المدمج وتنفيذها بقائمة عقدة كوسيطة ، وبالتالي توسيع نطاق وصولها إلى أنظمة ضعيفة أخرى.

تهدف برامج Botnet الضارة ذات السمات الشبيهة بالديدان إلى أداة Redis Storage المشهورة لقطة