El programari maliciós de botnets amb trets semblants a cucs té com a objectiu l'eina d'emmagatzematge popular Redis

Un grup de pirates informàtics no identificat ha llançat un atac utilitzant una varietat única i notable de programari maliciós dirigit a desplegaments de Redis accessibles públicament. Redis és l'opció popular de grans empreses com Amazon, Hulu i Tinder per a l'emmagatzematge de dades. La característica més sorprenent del programari maliciós és el seu comportament semblant a un cuc, que li permet autopropagar-se o replicar-se entre sistemes sense intervenció humana després d'accedir a una xarxa, tal com van destacar els investigadors.

Els investigadors de seguretat s'han trobat recentment amb una soca preocupant de programari maliciós anomenada " P2Pinfect ". Els va cridar l'atenció la seva notable capacitat per propagar-se i infectar de manera autònoma altres desplegaments de Redis vulnerables. Aquest comportament d'autopropagació genera preocupacions importants, ja que pot permetre que el programari maliciós ampliï el seu abast i impacte ràpidament. Malgrat la seva àmplia investigació, els investigadors encara han d'identificar els objectius específics d'aquest programari maliciós semblant a botnets, deixant el propòsit darrere del seu desplegament envoltat de misteri. Les possibles ramificacions d'una amenaça tan avançada i autònoma han aixecat banderes vermelles a la comunitat de ciberseguretat, que justifiquen més anàlisis i vigilància per protegir-se de possibles atacs.

La Unitat 42 de Palo Alto va analitzar la campanya de pirateria i el seu informe, publicat el 19 de juliol, va revelar la utilització del programari maliciós de CVE-2022-0543 per demanar aplicacions Redis i assimilar-les a una botnet. Aquesta botnet comprèn una col·lecció d'ordinadors infectats sota el control del pirata informàtic. Tot i que la mateixa vulnerabilitat va ser objecte d'explotació prèvia per assimilar dispositius a la botnet Muhstik el 2022 , l'últim programari maliciós, P2PInfect, sembla estar associat a una xarxa malèvola diferent i no està vinculat a Muhstik, segons les conclusions de la unitat 42.
L'informe s'alinea amb bona part de les troballes de la unitat 42, que revela que el programari maliciós està codificat en el llenguatge de programació Rust i intenta infectar altres amfitrions un cop connectats a la botnet.

No obstant això, es van descobrir dues distincions notables. En primer lloc, la mostra de programari maliciós analitzada pels seus investigadors no va explotar CVE-2022-0543 com a punt d'accés inicial. En segon lloc, P2Pinfect es va dirigir tant a instàncies de Windows com a Linux Redis. Van assenyalar que l'ús del llenguatge de programació Rust va permetre que el programari maliciós funcionés tant a les plataformes Windows com a Linux, alhora que feia difícil per als analistes analitzar el codi. El propòsit i la identitat dels que estan darrere del programari maliciós encara no estan clars. Tot i que els sistemes compromesos extreuen un "fitxer miner", no sembla que faci tasques de criptomineria. Aquest "miner" podria servir com a marcador de posició per a la futura distribució de criptomineria per part de l'actor de l'amenaça. De la mateixa manera, la unitat 42 va observar casos de la paraula "miner" al conjunt d'eines amenaçadores de P2PInfect, però no va trobar proves concloents d'operacions de criptomineria.

El programari maliciós té un doble propòsit. En primer lloc, permet als pirates informàtics protegir el servidor Redis d'altres actors d'amenaça que intenten comprometre'l alhora que garanteixen que el servidor segueixi funcionant de manera legítima, evitant així la detecció dels seus propietaris. Després de la infecció, el servidor compromès es converteix en un component d'una botnet peer-to-peer. Aquesta configuració permet una comunicació perfecta entre tots els nodes de botnet sense necessitat d'un servidor Ccommand-and-Control (C2) centralitzat. Els investigadors suggereixen que les ordres es desenvolupen mitjançant la transmissió de missatges signats a través de la xarxa. El programari maliciós s'adreça a hosts addicionals per propagar la infecció recopilant una llista d'usuaris, adreces IP i claus d'accés per al protocol de comunicació de xarxa SSH. Una vegada que un nou amfitrió ha obtingut accés, el programari maliciós es replica com si inicialment va infectar el servidor compromès. Això implica obtenir una còpia de si mateix del servidor HTTP integrat i executar-la amb una llista de nodes com a argument, ampliant així el seu abast a altres sistemes vulnerables.

El programari maliciós de botnets amb trets semblants a cucs té com a objectiu l'eina d'emmagatzematge popular Redis captures de pantalla