Botnet-haittaohjelmat, joilla on matomaisia piirteitä, tähtäävät suosittuun Redis-tallennustyökaluun

Tuntematon hakkeriryhmä on käynnistänyt hyökkäyksen käyttämällä ainutlaatuista ja huomionarvoista haittaohjelmia, jotka on kohdistettu julkisesti saatavilla oleviin Redis-asetuksiin. Redis on suurten yritysten, kuten Amazonin, Hulun ja Tinderin, suosittu valinta tiedon tallentamiseen. Haittaohjelman silmiinpistävin ominaisuus on sen matomainen käytös, joka mahdollistaa sen leviämisen tai replikoitumisen järjestelmien välillä ilman ihmisen puuttumista verkkoon pääsyn jälkeen, kuten tutkijat korostavat.

Tietoturvatutkijat ovat äskettäin kohdanneet huolestuttavan haittaohjelman, jonka nimi on " P2Pinfect ". Sen huomattava kyky itsenäisesti levittää ja tartuttaa muita haavoittuvia Redis-asennusjärjestelmiä kiinnitti heidän huomionsa. Tämä itsensä leviäminen herättää merkittäviä huolenaiheita, koska sen avulla haittaohjelmat voivat laajentaa kattavuuttaan ja vaikutustaan nopeasti. Laajasta tutkimuksestaan huolimatta tutkijat eivät ole vielä tunnistaneet tämän botnet-tyyppisen haittaohjelman erityisiä kohteita, joten sen käyttöönoton tarkoitus on jäänyt mysteerien peittoon. Tällaisen kehittyneen ja itsenäisen uhan mahdolliset seuraukset ovat nostaneet punaisia lippuja kyberturvallisuusyhteisössä, mikä edellyttää lisäanalyysiä ja valppautta mahdollisilta hyökkäyksiltä suojautumiseksi.

Palo Alton yksikkö 42 analysoi hakkerointikampanjan, ja heidän heinäkuun 19. päivänä julkaistussa raportissaan paljastui haittaohjelman CVE-2022-0543 hyödyntäminen Redis-sovellusten ohjaamiseen ja niiden yhdistämiseen botnet-verkkoon. Tämä bottiverkko sisältää kokoelman tartunnan saaneita tietokoneita hakkerin hallinnassa. Vaikka samaa haavoittuvuutta hyödynnettiin aiemmin laitteiden yhdistämiseksi Muhstik-botnet-verkkoon vuonna 2022 , uusin haittaohjelma, P2PInfect, näyttää liittyvän selkeään pahantahtoiseen verkkoon, eikä sitä ole linkitetty Muhstikiin yksikön 42 havaintojen mukaan.
Raportti on linjassa useimpien Unit 42:n havaintojen kanssa, ja paljastaa, että haittaohjelma on koodattu Rust-ohjelmointikielellä ja yrittää tartuttaa muita isäntiä, kun ne on yhdistetty bottiverkkoon.

Siinä havaittiin kuitenkin kaksi merkittävää eroa. Ensinnäkin tutkijoiden analysoima haittaohjelmanäyte ei käyttänyt CVE-2022-0543:a alkuperäisenä tukiasemana. Toiseksi P2Pinfect kohdistui sekä Windows- että Linux Redis -esiintymiin. He huomauttivat, että Rust-ohjelmointikielen avulla haittaohjelmat pystyivät toimimaan sekä Windows- että Linux-alustoilla samalla, kun analyytikoille oli haastavaa analysoida koodia. Haittaohjelman tarkoitus ja taustalla olevien henkilöllisyys ovat edelleen epäselviä. Vaikka vaarantuneet järjestelmät hakevat "kaivostiedostoa", se ei näytä suorittavan krypto-louhintatehtäviä. Tämä "kaivosmies" voisi mahdollisesti toimia paikkamerkkinä uhkatoimijan tulevalle krypto-louhintajakelulle. Samoin yksikkö 42 havaitsi sanan "kaivosmies" esiintymiä P2PInfectin uhkaavassa työkalupakkissa, mutta ei löytänyt vakuuttavia todisteita krypto-louhintatoimista.

Haittaohjelmalla on kaksi tarkoitusta. Ensinnäkin se antaa hakkereille mahdollisuuden suojata Redis-palvelinta muilta uhkatoimijoilta, jotka yrittävät vaarantaa sen, samalla kun varmistetaan, että palvelin toimii edelleen laillisesti, jolloin vältetään sen omistajien havaitseminen. Tartunnan yhteydessä vaarantuneesta palvelimesta tulee peer-to-peer-botnetin osa. Tämä kokoonpano mahdollistaa saumattoman viestinnän kaikkien botnet-solmujen välillä ilman keskitettyä Ccommand-and-Control (C2) -palvelinta. Tutkijat ehdottavat, että komennot leviävät lähettämällä allekirjoitettuja viestejä verkon yli. Haittaohjelma kohdistuu muihin isänteihin levittääkseen tartuntaa keräämällä luettelon käyttäjistä, IP-osoitteista ja pääsyavaimista SSH-verkkoyhteysprotokollaa varten. Kun uusi isäntä on saanut pääsyn, haittaohjelma replikoi itsensä aivan kuin se olisi alun perin tartuttanut vaarantuneen palvelimen. Tämä edellyttää kopion hakemista itsestään sisäänrakennetulta HTTP-palvelimelta ja sen suorittamista solmuluettelolla argumenttina, mikä laajentaa sen ulottuvuutta muihin haavoittuviin järjestelmiin.

Botnet-haittaohjelmat, joilla on matomaisia piirteitä, tähtäävät suosittuun Redis-tallennustyökaluun kuvakaappausta