Malware botnetu s rysy podobnými červům se zaměřuje na populární nástroj Redis Storage Tool

Neznámá skupina hackerů zahájila útok pomocí jedinečného a pozoruhodného kmene malwaru zaměřeného na veřejně přístupná nasazení Redis. Redis je oblíbenou volbou velkých společností jako Amazon, Hulu a Tinder pro ukládání dat. Nejvýraznějším rysem malwaru je jeho chování podobné červu, které mu umožňuje po získání přístupu k síti samo se šířit nebo replikovat napříč systémy bez lidského zásahu, jak zdůraznili výzkumníci.

Bezpečnostní výzkumníci nedávno narazili na znepokojivý kmen malwaru nazvaný „ P2Pinfect “. Pozornost upoutala jeho pozoruhodná schopnost autonomně šířit a infikovat další zranitelná nasazení Redis. Toto samopropagační chování vyvolává značné obavy, protože může umožnit malwaru rychle rozšířit svůj dosah a dopad. Navzdory rozsáhlému vyšetřování vědci dosud neidentifikovali konkrétní cíle tohoto malwaru podobného botnetu, takže účel jeho nasazení zůstává zahalen tajemstvím. Potenciální důsledky takové pokročilé a autonomní hrozby vyvolaly varovné signály v komunitě kybernetické bezpečnosti, což vyžaduje další analýzu a ostražitost na ochranu před možnými útoky.

Jednotka 42 společnosti Palo Alto analyzovala hackerskou kampaň a jejich zpráva, zveřejněná 19. července, odhalila využití malwaru CVE-2022-0543 k ovládnutí aplikací Redis a jejich asimilaci do botnetu. Tento botnet obsahuje sbírku infikovaných počítačů pod kontrolou hackera. Zatímco stejná zranitelnost byla předmětem předchozího zneužití k asimilaci zařízení do botnetu Muhstik v roce 2022 , nejnovější malware, P2PInfect, se zdá být spojen s odlišnou zlovolnou sítí a není spojen s Muhstikem, podle zjištění Unit 42.
Zpráva je v souladu s většinou zjištění Unit 42 a odhaluje, že malware je kódován v programovacím jazyce Rust a pokouší se infikovat další hostitele, jakmile se připojí k botnetu.

Byly však objeveny dva pozoruhodné rozdíly. Za prvé, vzorek malwaru analyzovaný jejich výzkumníky nezneužíval CVE-2022-0543 jako počáteční přístupový bod. Za druhé, P2Pinfect se zaměřil na instance Windows i Linux Redis. Poznamenali, že použití programovacího jazyka Rust umožnilo malwaru fungovat na platformách Windows i Linux, zatímco pro analytiky bylo náročné analyzovat kód. Účel a identita osob, které stojí za malwarem, zůstávají nejasné. Přestože kompromitované systémy vytáhnou „těžařský soubor“, nezdá se, že by prováděl úkoly těžby kryptoměn. Tento „těžař“ by mohl potenciálně sloužit jako zástupný symbol pro budoucí distribuci těžby kryptoměn ze strany aktéra hrozby. Podobně jednotka 42 pozorovala případy slova „miner“ v hrozivé sadě nástrojů P2PInfect, ale nenašla přesvědčivé důkazy o operacích těžby kryptoměn.

Malware má dvojí účel. Za prvé, umožňuje hackerům chránit server Redis před jinými aktéry ohroženími, kteří se jej pokoušejí kompromitovat, a zároveň zajistit, že server bude nadále legitimně fungovat, čímž se zabrání odhalení jeho vlastníky. Po infekci se napadený server stane součástí botnetu typu peer-to-peer. Tato konfigurace umožňuje bezproblémovou komunikaci mezi všemi uzly botnetu bez potřeby centralizovaného serveru C2. Výzkumníci navrhují, aby se příkazy rozšiřovaly přenosem podepsaných zpráv po síti. Malware se zaměřuje na další hostitele, aby šířil infekci shromážděním seznamu uživatelů, IP adres a přístupových klíčů pro síťový komunikační protokol SSH. Jakmile nový hostitel získá přístup, malware se replikuje, jako by původně infikoval napadený server. To zahrnuje načtení své kopie z vestavěného serveru HTTP a její spuštění se seznamem uzlů jako argumentem, čímž se rozšíří její dosah na další zranitelné systémy.

Malware botnetu s rysy podobnými červům se zaměřuje na populární nástroj Redis Storage Tool snímků obrazovky