Botnet zlonamjerni softver s osobinama crva cilja na popularni alat za pohranu Redis

Neidentificirana hakerska skupina pokrenula je napad koristeći jedinstvenu i značajnu vrstu zlonamjernog softvera koji cilja javno dostupne implementacije Redisa. Redis je popularan izbor velikih tvrtki kao što su Amazon, Hulu i Tinder za pohranu podataka. Najupečatljivija značajka zlonamjernog softvera je njegovo ponašanje poput crva, što mu omogućuje samopropagiranje ili repliciranje kroz sustave bez ljudske intervencije nakon što dobije pristup mreži, kao što su istaknuli istraživači.

Istraživači sigurnosti nedavno su naišli na zabrinjavajuću vrstu malwarea nazvanu " P2Pinfect ". Njihovu pozornost privukla je njegova izvanredna sposobnost autonomnog širenja i zaraze drugih ranjivih implementacija Redisa. Ovakvo ponašanje samopropagiranja izaziva značajnu zabrinutost jer može omogućiti zlonamjernom softveru da proširi svoj doseg i brzo utječe. Unatoč njihovoj opsežnoj istrazi, istraživači tek trebaju identificirati specifične mete ovog zlonamjernog softvera nalik na botnet, ostavljajući svrhu njegove primjene obavijenu velom tajne. Potencijalne posljedice takve napredne i autonomne prijetnje izazvale su zabrinutost u zajednici kibernetičke sigurnosti, zahtijevajući daljnju analizu i oprez radi zaštite od mogućih napada.

Jedinica 42 iz Palo Alta analizirala je kampanju hakiranja, a njihovo izvješće, objavljeno 19. srpnja, otkrilo je korištenje zlonamjernog softvera CVE-2022-0543 za upravljanje Redis aplikacijama i njihovu asimilaciju u botnet. Ovaj botnet se sastoji od zbirke zaraženih računala pod kontrolom hakera. Dok je ista ranjivost bila predmet prethodnog iskorištavanja za asimilaciju uređaja u Muhstik botnet 2022. , najnoviji zlonamjerni softver, P2PInfect, čini se da je povezan s jasnom zlonamjernom mrežom i nije povezan s Muhstikom, prema nalazima Jedinice 42.
Izvješće je u skladu s većinom nalaza Jedinice 42, otkrivajući da je zlonamjerni softver kodiran u programskom jeziku Rust i pokušava zaraziti druga računala nakon što se spoje na botnet.

Međutim, otkrivene su dvije značajne razlike. Prvo, uzorak zlonamjernog softvera koji su analizirali njihovi istraživači nije iskorištavao CVE-2022-0543 kao početnu pristupnu točku. Drugo, P2Pinfect je ciljao i Windows i Linux Redis instance. Primijetili su da je korištenje programskog jezika Rust omogućilo zlonamjernom softveru da funkcionira i na Windows i na Linux platformama, dok je analitičarima predstavljalo izazov za analizu koda. Svrha i identitet onih koji stoje iza zlonamjernog softvera ostaju nejasni. Iako kompromitirani sustavi povlače "datoteku rudara", čini se da ona ne obavlja zadatke kripto rudarenja. Ovaj "rudar" bi potencijalno mogao poslužiti kao rezervirano mjesto za buduću distribuciju kripto rudarenja od strane aktera prijetnje. Slično, Jedinica 42 uočila je slučajeve riječi "rudar" u prijetećem alatu P2PInfecta, ali nije pronašla uvjerljive dokaze o operacijama kripto rudarenja.

Zlonamjerni softver ima dvostruku svrhu. Prvo, omogućuje hakerima da zaštite Redis poslužitelj od drugih aktera prijetnji koji ga pokušavaju kompromitirati, istovremeno osiguravajući da poslužitelj nastavi raditi legitimno, čime se izbjegava otkrivanje od strane njegovih vlasnika. Nakon infekcije, kompromitirani poslužitelj postaje sastavni dio peer-to-peer botneta. Ova konfiguracija omogućuje besprijekornu komunikaciju između svih botnet čvorova bez potrebe za centraliziranim Ccommand-and-Control (C2) poslužiteljem. Istraživači sugeriraju da se naredbe uvode prijenosom potpisanih poruka preko mreže. Zlonamjerni softver cilja dodatne hostove za širenje infekcije prikupljanjem popisa korisnika, IP adresa i pristupnih ključeva za SSH mrežni komunikacijski protokol. Nakon što novi host dobije pristup, zlonamjerni se softver replicira kao da je inicijalno zarazio kompromitirani poslužitelj. To uključuje dohvaćanje svoje kopije s ugrađenog HTTP poslužitelja i njegovo izvršavanje s popisom čvorova kao argumentom, čime se proširuje njegov doseg na druge ranjive sustave.

Botnet zlonamjerni softver s osobinama crva cilja na popularni alat za pohranu Redis Snimaka Zaslona