कृमि जैसे लक्षणों वाला बॉटनेट मैलवेयर लोकप्रिय रेडिस स्टोरेज टूल को निशाना बनाता है

एक अज्ञात हैकर समूह ने सार्वजनिक रूप से सुलभ रेडिस तैनाती को लक्षित करने वाले मैलवेयर के एक अद्वितीय और उल्लेखनीय प्रकार का उपयोग करके हमला शुरू किया है। डेटा स्टोरेज के लिए रेडिस अमेज़न, हुलु और टिंडर जैसी प्रमुख कंपनियों की लोकप्रिय पसंद है। जैसा कि शोधकर्ताओं ने उजागर किया है, मैलवेयर की सबसे खास विशेषता इसका कृमि जैसा व्यवहार है, जो इसे नेटवर्क तक पहुंच प्राप्त करने के बाद मानवीय हस्तक्षेप के बिना पूरे सिस्टम में स्व-प्रचार या दोहराने की अनुमति देता है।

सुरक्षा शोधकर्ताओं को हाल ही में " P2Pinfect " नामक मैलवेयर के चिंताजनक स्वरूप का सामना करना पड़ा है। स्वायत्त रूप से फैलने और अन्य कमजोर रेडिस तैनाती को संक्रमित करने की इसकी उल्लेखनीय क्षमता ने उनका ध्यान आकर्षित किया। यह स्व-प्रचार व्यवहार महत्वपूर्ण चिंताएं पैदा करता है क्योंकि यह मैलवेयर को अपनी पहुंच और प्रभाव को तेजी से विस्तारित करने में सक्षम बना सकता है। अपनी व्यापक जांच के बावजूद, शोधकर्ताओं ने अभी तक इस बॉटनेट-जैसे मैलवेयर के विशिष्ट लक्ष्यों की पहचान नहीं की है, जिससे इसकी तैनाती के पीछे का उद्देश्य रहस्य में डूबा हुआ है। इस तरह के उन्नत और स्वायत्त खतरे के संभावित प्रभावों ने साइबर सुरक्षा समुदाय में खतरे की घंटी बजा दी है, जिससे संभावित हमलों से बचाव के लिए आगे के विश्लेषण और सतर्कता की आवश्यकता है।

पालो ऑल्टो की यूनिट 42 ने हैकिंग अभियान का विश्लेषण किया, और 19 जुलाई को जारी उनकी रिपोर्ट में रेडिस अनुप्रयोगों को कमांड करने और उन्हें एक बॉटनेट में समाहित करने के लिए मैलवेयर द्वारा सीवीई-2022-0543 के उपयोग का खुलासा किया गया। इस बॉटनेट में हैकर के नियंत्रण में संक्रमित कंप्यूटरों का संग्रह शामिल है। जबकि समान भेद्यता 2022 में मुहस्टिक बॉटनेट में उपकरणों को समाहित करने के लिए पिछले शोषण के अधीन थी, यूनिट 42 के निष्कर्षों के अनुसार, नवीनतम मैलवेयर, P2PInfect, एक विशिष्ट द्वेषपूर्ण नेटवर्क से जुड़ा हुआ प्रतीत होता है और मुहस्टिक से जुड़ा नहीं है।
रिपोर्ट यूनिट 42 के अधिकांश निष्कर्षों के अनुरूप है, जिससे पता चलता है कि मैलवेयर को रस्ट प्रोग्रामिंग भाषा में कोडित किया गया है और बॉटनेट से कनेक्ट होने के बाद अन्य होस्ट को संक्रमित करने का प्रयास करता है।

हालाँकि, इसमें दो उल्लेखनीय भेद खोजे गए। सबसे पहले, उनके शोधकर्ताओं द्वारा विश्लेषण किए गए मैलवेयर नमूने ने प्रारंभिक पहुंच बिंदु के रूप में CVE-2022-0543 का शोषण नहीं किया। दूसरे, P2Pinfect ने Windows और Linux Redis दोनों उदाहरणों को लक्षित किया। उन्होंने नोट किया कि रस्ट प्रोग्रामिंग भाषा का उपयोग करने से मैलवेयर को विंडोज और लिनक्स दोनों प्लेटफार्मों पर काम करने की अनुमति मिलती है, जबकि विश्लेषकों के लिए कोड का विश्लेषण करना चुनौतीपूर्ण हो जाता है। मैलवेयर के पीछे के लोगों का उद्देश्य और पहचान स्पष्ट नहीं है। हालाँकि समझौता किए गए सिस्टम एक "माइनर फ़ाइल" खींचते हैं, लेकिन ऐसा लगता है कि यह क्रिप्टो-माइनिंग कार्य नहीं करता है। यह "खनिक" संभावित रूप से खतरे वाले अभिनेता द्वारा भविष्य के क्रिप्टो-खनन वितरण के लिए प्लेसहोल्डर के रूप में काम कर सकता है। इसी तरह, यूनिट 42 ने P2PInfect के धमकी भरे टूलकिट में "माइनर" शब्द के उदाहरण देखे लेकिन क्रिप्टो-माइनिंग ऑपरेशन के निर्णायक सबूत नहीं मिले।

मैलवेयर का दोहरा उद्देश्य है। सबसे पहले, यह हैकर्स को रेडिस सर्वर को अन्य खतरे वाले अभिनेताओं से सुरक्षित रखने की अनुमति देता है, जो इससे समझौता करने का प्रयास करते हैं, साथ ही यह सुनिश्चित करते हैं कि सर्वर वैध रूप से काम करता रहे, इस प्रकार इसके मालिकों द्वारा पता लगाने से बचा जा सके। संक्रमण होने पर, समझौता किया गया सर्वर पीयर-टू-पीयर बॉटनेट का एक घटक बन जाता है। यह कॉन्फ़िगरेशन एक केंद्रीकृत Ccommand-and-Control (C2) सर्वर की आवश्यकता के बिना सभी बॉटनेट नोड्स के बीच निर्बाध संचार को सक्षम बनाता है। शोधकर्ताओं का सुझाव है कि पूरे नेटवर्क में हस्ताक्षरित संदेशों को प्रसारित करके कमांड रोल आउट किया जाता है। मैलवेयर एसएसएच नेटवर्क संचार प्रोटोकॉल के लिए उपयोगकर्ताओं, आईपी पते और एक्सेस कुंजियों की सूची इकट्ठा करके संक्रमण फैलाने के लिए अतिरिक्त होस्ट को लक्षित करता है। एक बार जब एक नया होस्ट पहुंच प्राप्त कर लेता है, तो मैलवेयर खुद को दोहराता है जैसे उसने शुरू में समझौता किए गए सर्वर को संक्रमित किया था। इसमें अंतर्निहित HTTP सर्वर से स्वयं की एक प्रति प्राप्त करना और इसे एक तर्क के रूप में नोड सूची के साथ निष्पादित करना शामिल है, जिससे अन्य कमजोर प्रणालियों तक इसकी पहुंच का विस्तार होता है।

कृमि जैसे लक्षणों वाला बॉटनेट मैलवेयर लोकप्रिय रेडिस स्टोरेज टूल को निशाना बनाता है स्क्रीनशॉट