Programari maliciós P2Pinfect

Els actors de l'amenaça estan duent a terme atacs a instàncies vulnerables de SSH i Redis, un magatzem de dades de codi obert. Aquests actors fraudulents estan utilitzant un cuc autorreplicatiu peer-to-peer conegut com P2Pinfect, que té versions dissenyades tant per als sistemes operatius Windows com per a Linux.

Desenvolupat amb el llenguatge de programació Rust, el programari maliciós P2Pinfect utilitza almenys dos mètodes per obtenir l'accés inicial als sistemes objectiu. El primer mètode aprofita una vulnerabilitat crítica que es va revelar i es va pegar l'any 2022. El segon mètode aprofita una característica dins de Redis que permet la replicació de la base de dades principal per millorar l'alta disponibilitat i contrarestar els escenaris de failover.

El programari maliciós P2Pinfect utilitza diferents vectors d'infecció

Inicialment, P2PInfect va aprofitar una vulnerabilitat crítica identificada com a CVE-2022-0543, que tenia una puntuació de gravetat màxima de 10 sobre 10. Aquesta fallada de seguretat va afectar específicament els sistemes Debian i es va relacionar amb una vulnerabilitat d'escapada de sandbox LUA derivada d'un problema d'embalatge. L'explotació d'aquesta vulnerabilitat va atorgar capacitats d'execució de codi remota, cosa que suposava una amenaça important per als sistemes afectats.

Una vegada que una instància de Redis vulnerable es veu compromesa amb una càrrega útil inicial, P2PInfect procedeix a baixar nous scripts i binaris maliciosos adaptats al sistema operatiu específic. A més, el servidor infectat està inclòs a la llista de sistemes compromesos del programari maliciós. Posteriorment, el programari maliciós integra el servidor infectat a la seva xarxa peer-to-peer, facilitant la difusió de càrregues útils malicioses als futurs servidors Redis compromesos.

Els investigadors que van investigar P2PInfect també van descobrir una mostra que demostrava la compatibilitat entre plataformes, cosa que indica que el programari maliciós estava dissenyat per dirigir-se tant a entorns Windows com Linux. Aquesta mostra en particular contenia binaris Portable Executable (PE) i ELF, cosa que li permetia funcionar en ambdós sistemes operatius sense problemes. Curiosament, aquesta variant va utilitzar un mètode diferent d'accés inicial, aprofitant la funció de replicació de Redis, que permet generar rèpliques exactes de la instància principal/líder de Redis.

El programari maliciós P2Pinfect s'escampa i afegeix els sistemes compromesos a una botnet

La càrrega útil principal del programari maliciós és un binari ELF, escrit de manera intel·ligent en una combinació de llenguatges de programació C i Rust. Un cop s'executa, activa el component Rust de la càrrega útil per fer-se càrrec.

Un cop activat, el binari procedeix a fer alteracions crítiques a la configuració SSH a l'amfitrió objectiu. Modifica la configuració del servidor OpenSSH per semblar-se a un estat gairebé predeterminat, concedint a l'atacant accés al servidor mitjançant el protocol de shell segur (SSH) i habilitant l'autenticació de contrasenya. A continuació, l'actor de l'amenaça reinicia el servei SSH i afegeix una clau SSH a la llista de claus autoritzades per a l'usuari actual, garantint l'accés sense obstacles al sistema compromès.

En la fase posterior, l'atacant desplega un script bash per manipular els noms dels binaris wget i curl. L'script també verifica la presència d'utilitats específiques i les instal·la si encara no estan disponibles. L'ús d'una utilitat de tallafocs sembla ser una mesura emprada pel programari maliciós per protegir el servidor Redis vulnerable d'altres atacants potencials. El programari maliciós estableix la persistència a l'amfitrió compromès, assegurant el seu funcionament continu.

Posteriorment, el servidor infectat està equipat amb almenys un binari capaç d'escanejar el directori /proc i accedir a l'estadística de cada procés que hi ha. A més, el binari pot supervisar activament el directori /proc per detectar qualsevol canvi.

A més, el binari té la capacitat d'actualitzar el binari de programari maliciós primari i executar-lo si la signatura actual no coincideix amb la recuperada de la botnet.

En tractar cada servidor Redis compromès com un node, P2PInfect transforma la xarxa en una botnet peer-to-peer. Aquesta botnet funciona sense la necessitat d'un servidor centralitzat d'ordres i control (C2), cosa que li atorga la possibilitat de rebre instruccions de manera autònoma.