Ussilaadsete tunnustega robotivõrgu pahavara võtab sihikule populaarse Redise salvestustööriista

Tundmatu häkkerirühmitus on käivitanud rünnaku, kasutades ainulaadset ja tähelepanuväärset pahavara tüve, mis on suunatud avalikult juurdepääsetavatele Redise juurutustele. Redis on suurte ettevõtete, nagu Amazon, Hulu ja Tinder, populaarne valik andmete salvestamiseks. Pahavara kõige silmatorkavam omadus on selle ussilaadne käitumine, mis võimaldab pärast võrgule juurdepääsu saamist ise levida või paljuneda süsteemides ilma inimese sekkumiseta, nagu on rõhutanud teadlased.

Turvauurijad on hiljuti kokku puutunud murettekitava pahavara tüvega, mille nimi on " P2Pinfect ". Nende tähelepanu köitis selle märkimisväärne võime autonoomselt levida ja nakatada teisi haavatavaid Redise juurutusi. Selline iselevitav käitumine tekitab märkimisväärset muret, kuna see võib võimaldada pahavaral oma haaret ja mõju kiiresti laiendada. Vaatamata ulatuslikule uurimisele ei ole teadlased veel tuvastanud selle botneti-sarnase pahavara konkreetseid sihtmärke, jättes selle juurutamise eesmärgi saladuseks. Sellise arenenud ja autonoomse ohu võimalikud tagajärjed on tõstnud küberjulgeoleku kogukonnas punase lipu, mis nõuab täiendavat analüüsi ja valvsust, et kaitsta end võimalike rünnakute eest.

Palo Alto üksus 42 analüüsis häkkimiskampaaniat ja nende 19. juulil avaldatud aruanne näitas, et pahavara kasutab CVE-2022-0543 Redise rakenduste juhtimiseks ja nende botnetti assimileerimiseks. See robotvõrk sisaldab nakatunud arvutite kogumit, mis on häkkeri kontrolli all. Kuigi sama haavatavust kasutati 2022. aastal seadmete Muhstiku botnetti assimileerimiseks, näib uusim pahavara P2PInfect olevat seotud selge pahatahtliku võrguga ega ole üksuse 42 tulemuste kohaselt Muhstikuga seotud.
Aruanne ühtib suure osa üksuse 42 leidudega, paljastades, et pahavara on kodeeritud Rust programmeerimiskeeles ja üritab nakatada teisi hoste, kui need on botnetiga ühendatud.

Siiski avastati kaks märkimisväärset erinevust. Esiteks ei kasutanud nende teadlaste analüüsitud pahavara näidis CVE-2022-0543 esialgse pöörduspunktina. Teiseks sihis P2Pinfect nii Windowsi kui ka Linux Redise eksemplare. Nad märkisid, et Rusti programmeerimiskeele kasutamine võimaldas pahavaral töötada nii Windowsi kui ka Linuxi platvormidel, muutes analüütikutele koodi analüüsimise keeruliseks. Pahavara eesmärk ja isik jääb ebaselgeks. Kuigi ohustatud süsteemid tõmbavad "kaevandaja faili", ei näi see krüptokaevandamise ülesandeid täitvat. See "kaevur" võib potentsiaalselt olla kohahoidja tulevasele krüptokaevandamise levitamisele ohus osaleja poolt. Samamoodi jälgis üksus 42 sõna "kaevur" juhtumeid P2PInfecti ähvardava tööriistakomplektis, kuid ei leidnud veenvaid tõendeid krüptokaevandamise kohta.

Pahavaral on kaks eesmärki. Esiteks võimaldab see häkkeritel kaitsta Redise serverit teiste ohtude eest, kes üritavad seda ohustada, tagades samal ajal serveri seadusliku toimimise, vältides seega selle avastamist selle omanike poolt. Nakatumisel muutub ohustatud server peer-to-peer botneti komponendiks. See konfiguratsioon võimaldab sujuvat suhtlust kõigi robotvõrgu sõlmede vahel, ilma et oleks vaja tsentraliseeritud Ccommand-and-Control (C2) serverit. Teadlased soovitavad, et käsud leviksid allkirjastatud sõnumite edastamise teel üle võrgu. Pahavara sihib nakkuse levitamiseks täiendavaid hoste, kogudes SSH-võrgu sideprotokolli jaoks kasutajate loendi, IP-aadressid ja juurdepääsuvõtmed. Kui uus host on saanud juurdepääsu, paljuneb pahavara end nii, nagu oleks see algselt nakatanud ohustatud serverit. See hõlmab enda koopia toomist sisseehitatud HTTP-serverist ja selle käivitamist argumendina sõlmeloendiga, laiendades seeläbi selle haaret teistele haavatavatele süsteemidele.

Ussilaadsete tunnustega robotivõrgu pahavara võtab sihikule populaarse Redise salvestustööriista ekraanipilti