بدافزار بات‌نت با ویژگی‌های کرم‌مانند ابزار ذخیره‌سازی محبوب Redis را هدف قرار می‌دهد.

یک گروه هکر ناشناس با استفاده از نوع منحصر به فرد و قابل توجه بدافزار حمله ای را انجام داده است که استقرار Redis در دسترس عموم را هدف قرار می دهد. Redis انتخاب محبوب شرکت های بزرگی مانند آمازون، Hulu و Tinder برای ذخیره سازی داده ها است. بارزترین ویژگی این بدافزار رفتار کرم مانند آن است که به آن اجازه می دهد تا پس از دسترسی به یک شبکه، پس از دسترسی به شبکه، خود به خود منتشر یا در سیستم ها تکثیر شود، بدون دخالت انسان، همانطور که توسط محققان برجسته شده است.

محققان امنیتی اخیراً با یک نوع بدافزار نگران کننده با نام " P2Pinfect " مواجه شده اند. قابلیت قابل توجه آن در گسترش مستقل و آلوده کردن دیگر استقرارهای آسیب پذیر Redis توجه آنها را جلب کرد. این رفتار خود انتشاری نگرانی‌های قابل‌توجهی را ایجاد می‌کند، زیرا می‌تواند بدافزار را قادر سازد تا دسترسی و تأثیر خود را به سرعت گسترش دهد. علیرغم تحقیقات گسترده، محققان هنوز اهداف خاص این بدافزار شبه بات نت را شناسایی نکرده اند و هدف از استقرار آن را در هاله ای از ابهام رها می کنند. پیامدهای بالقوه چنین تهدید پیشرفته و مستقلی، پرچم‌های قرمز را در جامعه امنیت سایبری برافراشته است و نیاز به تحلیل و هوشیاری بیشتر برای محافظت در برابر حملات احتمالی دارد.

واحد 42 Palo Alto کمپین هک را تجزیه و تحلیل کرد و گزارش آنها که در 19 ژوئیه منتشر شد، استفاده بدافزار از CVE-2022-0543 را برای فرماندهی برنامه های Redis و جذب آنها در یک بات نت فاش کرد. این بات نت شامل مجموعه ای از رایانه های آلوده تحت کنترل هکر است. در حالی که همین آسیب‌پذیری در سال 2022 مورد سوء استفاده قبلی برای جذب دستگاه‌ها در بات‌نت Muhstik قرار داشت، به نظر می‌رسد آخرین بدافزار، P2PInfect، با یک شبکه بدخواه مجزا مرتبط است و طبق یافته‌های واحد 42 به Muhstik مرتبط نیست.
این گزارش با بسیاری از یافته‌های واحد 42 مطابقت دارد و نشان می‌دهد که این بدافزار در زبان برنامه‌نویسی Rust کدگذاری شده است و تلاش می‌کند پس از اتصال به بات‌نت، میزبان‌های دیگر را آلوده کند.

با این حال، دو تمایز قابل توجه کشف شد. اولاً، نمونه بدافزاری که توسط محققان آنها تجزیه و تحلیل شد، از CVE-2022-0543 به عنوان نقطه دسترسی اولیه استفاده نکرد. ثانیا، P2Pinfect هر دو نمونه ویندوز و لینوکس Redis را مورد هدف قرار داد. آنها خاطرنشان کردند که استفاده از زبان برنامه نویسی Rust به بدافزار اجازه می دهد در هر دو سیستم عامل ویندوز و لینوکس کار کند و در عین حال تجزیه و تحلیل کد را برای تحلیلگران به چالش می کشد. هدف و هویت کسانی که در پشت این بدافزار هستند نامشخص است. اگرچه سیستم های در معرض خطر یک "فایل ماینر" را می کشند، اما به نظر نمی رسد که وظایف استخراج رمزنگاری را انجام دهد. این «ماینر» به‌طور بالقوه می‌تواند به‌عنوان جایگاهی برای توزیع ارز دیجیتال در آینده توسط عامل تهدید عمل کند. به طور مشابه، واحد 42 مواردی از کلمه "miner" را در جعبه ابزار تهدید کننده P2PInfect مشاهده کرد اما شواهد قطعی از عملیات استخراج رمزنگاری پیدا نکرد.

این بدافزار دو هدف دارد. در مرحله اول، به هکرها اجازه می دهد تا از سرور Redis در برابر سایر عوامل تهدید که سعی در به خطر انداختن آن دارند محافظت کنند و در عین حال اطمینان حاصل کنند که سرور به طور قانونی به کار خود ادامه می دهد، بنابراین از شناسایی توسط صاحبان آن جلوگیری می کند. به محض آلوده شدن، سرور در معرض خطر به جزء یک بات نت همتا به همتا تبدیل می شود. این پیکربندی ارتباط یکپارچه بین تمام گره های بات نت را بدون نیاز به سرور مرکزی Ccommand-and-Control (C2) امکان پذیر می کند. محققان پیشنهاد می کنند که دستورات با انتقال پیام های امضا شده در سراسر شبکه اجرا شوند. این بدافزار میزبان های اضافی را هدف قرار می دهد تا با جمع آوری لیستی از کاربران، آدرس های IP و کلیدهای دسترسی برای پروتکل ارتباطی شبکه SSH، عفونت را منتشر کند. هنگامی که یک میزبان جدید دسترسی پیدا کرد، بدافزار خود را مانند اینکه در ابتدا سرور در معرض خطر را آلوده کرده بود، تکرار می کند. این شامل واکشی یک کپی از خود از سرور HTTP داخلی و اجرای آن با لیست گره به عنوان آرگومان است، در نتیجه دسترسی آن را به سایر سیستم های آسیب پذیر گسترش می دهد.

بدافزار بات‌نت با ویژگی‌های کرم‌مانند ابزار ذخیره‌سازی محبوب Redis را هدف قرار می‌دهد. اسکرین شات