תוכנות זדוניות של Botnet עם תכונות דמויות תולעים מכוונות אל כלי האחסון הפופולרי של Redis

קבוצת האקרים לא מזוהה פתחה במתקפה באמצעות זן ייחודי וראוי לציון של תוכנות זדוניות המכוונות לפריסות Redis הנגישות לציבור. Redis היא הבחירה הפופולרית של חברות גדולות כמו אמזון, Hulu ו-Tinder לאחסון נתונים. התכונה הבולטת ביותר של התוכנה הזדונית היא התנהגותה דמוית התולעת, המאפשרת לה להפיץ או לשכפל בעצמה בין מערכות ללא התערבות אנושית לאחר קבלת גישה לרשת, כפי שהדגישו חוקרים.

חוקרי אבטחה נתקלו לאחרונה בזן מדאיג של תוכנות זדוניות המכונה " P2Pinfect ". היכולת המדהימה שלה להפיץ ולהדביק באופן אוטונומי פריסות Redis פגיעות אחרות משכה את תשומת לבם. התנהגות ההפצה העצמית הזו מעוררת דאגות משמעותיות מכיוון שהיא יכולה לאפשר לתוכנה זדונית להרחיב את טווח ההגעה וההשפעה שלה במהירות. למרות החקירה הנרחבת שלהם, החוקרים עדיין לא זיהו את היעדים הספציפיים של תוכנה זדונית דמויית בוטנט זו, מה שהותיר את המטרה מאחורי פריסתה אפופה במסתורין. ההשלכות הפוטנציאליות של איום מתקדם ואוטונומי שכזה העלו דגלים אדומים בקהילת אבטחת הסייבר, מה שמצדיק ניתוח נוסף וערנות כדי להגן מפני התקפות אפשריות.

יחידה 42 של פאלו אלטו ניתחה את מסע הפריצה, והדו"ח שלהם, שפורסם ב-19 ביולי, חשף את ניצול התוכנה הזדונית של CVE-2022-0543 כדי לפקח על יישומי Redis ולהטמיע אותם ברשת בוט. רשת בוט זה כוללת אוסף של מחשבים נגועים בשליטת ההאקר. בעוד שאותה פגיעות הייתה נתונה לניצול קודם כדי להטמיע מכשירים ברשת הבוטנט Muhstik בשנת 2022 , נראה כי התוכנה הזדונית האחרונה, P2PInfect, קשורה לרשת זדונית מובהקת ואינה מקושרת ל- Muhstik, על פי ממצאי יחידה 42.
הדו"ח עולה בקנה אחד עם חלק ניכר מהממצאים של יחידה 42, וחושף שהתוכנה הזדונית מקודדת בשפת התכנות Rust ומנסה להדביק מארחים אחרים לאחר חיבור לרשת הבוט.

עם זאת, התגלו שתי הבחנות בולטות. ראשית, מדגם התוכנה הזדונית שניתחה על ידי החוקרים שלהם לא ניצלה את CVE-2022-0543 כנקודת הגישה הראשונית. שנית, P2Pinfect כיוון גם למופעי Windows וגם ל-Linux Redis. הם ציינו ששימוש בשפת התכנות Rust אפשרה לתוכנה הזדונית לתפקד גם בפלטפורמות Windows וגם ב-Linux, תוך כדי מאתגר עבור אנליסטים לנתח את הקוד. המטרה והזהות של העומדים מאחורי התוכנה הזדונית עדיין לא ברורות. למרות שמערכות שנפגעו מושכות "קובץ כורה", נראה שהוא לא מבצע משימות כריית קריפטו. "כורה" זה עשוי לשמש מציין מקום להפצה עתידית של כריית קריפטו על ידי שחקן האיום. באופן דומה, יחידה 42 צפתה במקרים של המילה "כורה" בערכת הכלים המאיימת של P2PInfect, אך לא מצאה ראיות חותכות לפעולות כריית קריפטו.

לתוכנה הזדונית יש מטרה כפולה. ראשית, היא מאפשרת להאקרים להגן על שרת Redis מפני גורמי איומים אחרים המנסים לסכן אותו תוך הבטחה שהשרת ימשיך לפעול באופן לגיטימי, ובכך למנוע זיהוי על ידי בעליו. לאחר ההדבקה, השרת שנפגע הופך למרכיב של רשת בוט-לעמית. תצורה זו מאפשרת תקשורת חלקה בין כל צמתי הבוטנט ללא צורך בשרת Ccommand-and-Control (C2) מרכזי. חוקרים מציעים שפקודות מתגלגלות על ידי העברת הודעות חתומות ברחבי הרשת. התוכנה הזדונית מכוונת למארחים נוספים כדי להפיץ את הזיהום על ידי איסוף רשימה של משתמשים, כתובות IP ומפתחות גישה עבור פרוטוקול התקשורת ברשת SSH. ברגע שמארח חדש השיג גישה, התוכנה הזדונית משכפלת את עצמה כאילו היא הדביקה בתחילה את השרת שנפרץ. זה כולל שליפת עותק של עצמו משרת ה-HTTP המובנה וביצועו עם רשימת צמתים כארגומנט, ובכך להרחיב את טווח ההגעה שלו למערכות פגיעות אחרות.

תוכנות זדוניות של Botnet עם תכונות דמויות תולעים מכוונות אל כלי האחסון הפופולרי של Redis צילומי מסך