Ботнет злонамерен софтуер с черти, подобни на червей, се прицелва в популярния инструмент за съхранение Redis

Неидентифицирана хакерска група е стартирала атака, използвайки уникален и забележителен вид зловреден софтуер, насочен към публично достъпни внедрявания на Redis. Redis е популярният избор на големи компании като Amazon, Hulu и Tinder за съхранение на данни. Най-впечатляващата характеристика на злонамерения софтуер е подобно на червей поведение, което му позволява да се саморазпространява или репликира в системи без човешка намеса, след като получи достъп до мрежа, както подчертаха изследователите.

Изследователите на сигурността наскоро се натъкнаха на тревожен вид злонамерен софтуер, наречен " P2Pinfect ". Неговата забележителна способност за автономно разпространение и заразяване на други уязвими внедрявания на Redis привлече вниманието им. Това поведение на саморазмножаване поражда сериозни опасения, тъй като може да позволи на злонамерения софтуер да разшири обхвата си и да въздейства бързо. Въпреки обширното си разследване, изследователите все още не са идентифицирали конкретните цели на този подобен на ботнет зловреден софтуер, оставяйки целта зад неговото внедряване обвита в мистерия. Потенциалните разклонения на такава напреднала и автономна заплаха предизвикаха тревога в общността за киберсигурност, което изисква допълнителен анализ и бдителност за защита срещу възможни атаки.

Отдел 42 на Пало Алто анализира хакерската кампания и техният доклад, публикуван на 19 юли, разкри използването на CVE-2022-0543 от зловреден софтуер за командване на приложения на Redis и асимилирането им в ботнет. Този ботнет се състои от колекция от заразени компютри под контрола на хакера. Въпреки че същата уязвимост е била обект на предишна експлоатация за асимилиране на устройства в ботнета Muhstik през 2022 г. , най-новият зловреден софтуер, P2PInfect, изглежда е свързан с отделна злонамерена мрежа и не е свързан с Muhstik, според констатациите на Unit 42.
Докладът е в съответствие с голяма част от констатациите на Unit 42, разкривайки, че зловреден софтуер е кодиран на езика за програмиране Rust и се опитва да зарази други хостове, след като се свърже с ботнета.

Въпреки това бяха открити две забележителни разлики. Първо, извадката от зловреден софтуер, анализирана от техните изследователи, не използва CVE-2022-0543 като първоначална точка за достъп. Второ, P2Pinfect е насочен към Windows и Linux Redis екземпляри. Те отбелязаха, че използването на езика за програмиране Rust позволява на зловредния софтуер да функционира както на Windows, така и на Linux платформи, като същевременно прави анализирането на кода предизвикателство за анализаторите. Целта и самоличността на тези, които стоят зад зловреден софтуер, остават неясни. Въпреки че компрометираните системи изтеглят „файл за копаене“, той не изглежда да изпълнява задачи за крипто копаене. Този „копач“ потенциално може да служи като заместител за бъдещо разпространение на крипто копаене от заплахата. По същия начин, Unit 42 наблюдава случаи на думата „миньор“ в заплашителния инструментариум на P2PInfect, но не открива убедителни доказателства за операции за крипто копаене.

Зловреден софтуер има две цели. Първо, той позволява на хакерите да защитят Redis сървъра от други заплахи, които се опитват да го компрометират, като същевременно гарантира, че сървърът продължава да работи законно, като по този начин се избягва откриването от неговите собственици. При заразяване, компрометираният сървър става съставна част на peer-to-peer ботнет. Тази конфигурация позволява безпроблемна комуникация между всички ботнет възли, без да е необходим централизиран Ccommand-and-Control (C2) сървър. Изследователите предполагат, че командите се разпространяват чрез предаване на подписани съобщения в мрежата. Злонамереният софтуер е насочен към допълнителни хостове, за да разпространи инфекцията чрез събиране на списък с потребители, IP адреси и ключове за достъп за комуникационния протокол на мрежата SSH. След като нов хост получи достъп, зловредният софтуер се репликира, както първоначално е заразил компрометирания сървър. Това включва извличане на копие от себе си от вградения HTTP сървър и изпълнението му със списък с възли като аргумент, като по този начин разширява обхвата му до други уязвими системи.

Ботнет злонамерен софтуер с черти, подобни на червей, се прицелва в популярния инструмент за съхранение Redis екранни снимки