Botnet-malware med ormlignende træk tager sigte på det populære Redis-lagringsværktøj
En uidentificeret hackergruppe har lanceret et angreb ved hjælp af en unik og bemærkelsesværdig stamme af malware rettet mod offentligt tilgængelige Redis-implementeringer. Redis er det populære valg af store virksomheder som Amazon, Hulu og Tinder til datalagring. Malwarens mest iøjnefaldende egenskab er dens ormelignende adfærd, som gør det muligt for den selv at sprede sig eller replikere på tværs af systemer uden menneskelig indgriben efter at have fået adgang til et netværk, som fremhævet af forskere.
Sikkerhedsforskere er for nylig stødt på en bekymrende stamme af malware kaldet " P2Pinfect ." Dens bemærkelsesværdige evne til autonomt at sprede og inficere andre sårbare Redis-installationer fangede deres opmærksomhed. Denne selvudbredelsesadfærd giver anledning til betydelige bekymringer, da den kan gøre det muligt for malwaren at udvide sin rækkevidde og virkning hurtigt. På trods af deres omfattende efterforskning har forskerne endnu ikke identificeret de specifikke mål for denne botnet-lignende malware, hvilket efterlader formålet bag dens udrulning omgærdet af mystik. De potentielle konsekvenser af en sådan avanceret og autonom trussel har rejst røde flag i cybersikkerhedssamfundet, hvilket berettiger yderligere analyse og årvågenhed for at beskytte mod mulige angreb.
Palo Altos Unit 42 analyserede hacking-kampagnen, og deres rapport, der blev udgivet den 19. juli, afslørede malwarens brug af CVE-2022-0543 til at styre Redis-applikationer og assimilere dem i et botnet. Dette botnet omfatter en samling af inficerede computere under hackerens kontrol. Mens den samme sårbarhed var genstand for tidligere udnyttelse til at assimilere enheder i Muhstik-botnettet i 2022 , ser den seneste malware, P2PInfect, ud til at være forbundet med et særskilt ondsindet netværk og er ikke forbundet med Muhstik, ifølge Unit 42's resultater.
Rapporten stemmer overens med meget af Unit 42's resultater og afslører, at malwaren er kodet i Rust-programmeringssproget og forsøger at inficere andre værter, når de først er forbundet til botnettet.
Imidlertid blev det opdaget to bemærkelsesværdige forskelle. For det første udnyttede malwareprøven analyseret af deres forskere ikke CVE-2022-0543 som det første adgangspunkt. For det andet målrettede P2Pinfect både Windows- og Linux Redis-forekomster. De bemærkede, at brugen af Rust-programmeringssproget tillod malware at fungere på både Windows- og Linux-platforme, mens det gjorde det udfordrende for analytikere at analysere koden. Formålet og identiteten af dem, der står bag malwaren, er stadig uklare. Selvom kompromitterede systemer trækker en "miner-fil", ser den ikke ud til at udføre krypto-mine-opgaver. Denne "miner" kunne potentielt tjene som en pladsholder for fremtidig krypto-minedistribution af trusselsaktøren. På samme måde observerede enhed 42 forekomster af ordet "miner" i P2PInfects truende værktøjssæt, men fandt ikke afgørende beviser for krypto-minedrift.
Malwaren har et dobbelt formål. For det første giver det hackere mulighed for at beskytte Redis-serveren mod andre trusselsaktører, der forsøger at kompromittere den, samtidig med at den sikrer, at serveren fortsætter med at fungere lovligt, og dermed undgår dens ejere opdagelse. Ved infektion bliver den kompromitterede server en bestanddel af et peer-to-peer botnet. Denne konfiguration muliggør problemfri kommunikation mellem alle botnet-noder uden behov for en centraliseret Ccommand-and-Control (C2) server. Forskere foreslår, at kommandoer rulles ud ved at sende signerede beskeder på tværs af netværket. Malwaren retter sig mod yderligere værter for at udbrede infektionen ved at samle en liste over brugere, IP-adresser og adgangsnøgler til SSH-netværkskommunikationsprotokollen. Når en ny vært har fået adgang, replikerer malwaren sig selv, som om den oprindeligt inficerede den kompromitterede server. Det involverer at hente en kopi af sig selv fra den indbyggede HTTP-server og eksekvere den med en nodeliste som argument og derved udvide dens rækkevidde til andre sårbare systemer.
Botnet-malware med ormlignende træk tager sigte på det populære Redis-lagringsværktøj Skærmbilleder
