A féregszerű tulajdonságokkal rendelkező botnet rosszindulatú program a népszerű Redis tárolóeszközt veszi célba

Egy azonosítatlan hackercsoport támadást indított egy egyedi és figyelemre méltó rosszindulatú program segítségével, amely nyilvánosan elérhető Redis-telepítéseket céloz meg. A Redis a nagy cégek, például az Amazon, a Hulu és a Tinder népszerű választása adattárolásra. A rosszindulatú program legszembetűnőbb tulajdonsága a féregszerű viselkedése, amely lehetővé teszi, hogy a hálózathoz való hozzáférést követően önállóan szaporodjon vagy replikáljon rendszerek között emberi beavatkozás nélkül, amint azt a kutatók is kiemelték.

A biztonsági kutatók a közelmúltban találkoztak a rosszindulatú programok egy aggasztó törzsével, amelyet " P2Pinfect "-nek neveztek el. Figyelemre méltó képessége, hogy autonóm módon terjesztheti és megfertőzheti a többi sebezhető Redis telepítést, felkeltette a figyelmüket. Ez az önterjedési viselkedés komoly aggályokat vet fel, mivel lehetővé teheti a rosszindulatú program számára, hogy gyorsan kiterjessze elérhetőségét és hatását. A kiterjedt vizsgálat ellenére a kutatóknak még nem sikerült azonosítaniuk ennek a botnet-szerű rosszindulatú programnak a konkrét célpontjait, így a célt rejtély homály fedi. Az ilyen fejlett és autonóm fenyegetés lehetséges következményei a kiberbiztonsági közösségben vörös zászlókat tűztek ki, ami további elemzést és éberséget tesz szükségessé az esetleges támadások elleni védekezés érdekében.

Palo Alto 42-es egysége elemezte a hackerkampányt, és a július 19-én közzétett jelentésük feltárta, hogy a rosszindulatú program a CVE-2022-0543 kódot használja a Redis alkalmazások irányítására és botnetbe asszimilálására. Ez a botnet fertőzött számítógépek gyűjteményét tartalmazza a hacker irányítása alatt. Míg 2022-ben ugyanezt a sérülékenységet korábban kiaknázták az eszközök Muhstik botnetbe való asszimilálására, a legújabb rosszindulatú program, a P2PInfect úgy tűnik, hogy egy külön rosszindulatú hálózathoz kapcsolódik, és a 42. egység megállapításai szerint nem kapcsolódik a Muhstikhoz.
A jelentés összhangban van a 42-es egység megállapításaival, és felfedi, hogy a rosszindulatú program a Rust programozási nyelven van kódolva, és megpróbál megfertőzni más gazdagépeket, miután csatlakoztak a botnethez.

Azonban két figyelemre méltó különbséget fedeztek fel. Először is, a kutatók által elemzett kártevő-minta nem a CVE-2022-0543-at használta ki kezdeti hozzáférési pontként. Másodszor, a P2Pinfect a Windows és a Linux Redis példányokat is megcélozta. Megjegyezték, hogy a Rust programozási nyelv lehetővé tette, hogy a kártevő Windows és Linux platformon is működjön, miközben az elemzők számára kihívást jelent a kód elemzése. A kártevő mögött állók célja és kiléte továbbra is tisztázatlan. Bár a kompromittált rendszerek kihúznak egy "bányászfájlt", úgy tűnik, hogy nem hajtanak végre kripto-bányászati feladatokat. Ez a „bányász” potenciálisan helyőrzőként szolgálhat a fenyegetés szereplői általi jövőbeni kripto-bányászat terjesztéséhez. Hasonlóképpen, a 42-es egység megfigyelte a „bányász” szó előfordulását a P2PInfect fenyegető eszköztárában, de nem talált meggyőző bizonyítékot a kripto-bányászati műveletekre.

A rosszindulatú programnak kettős célja van. Először is, lehetővé teszi a hackerek számára, hogy megvédjék a Redis-kiszolgálót az azt feltörni próbáló más fenyegetésektől, miközben biztosítja, hogy a szerver továbbra is szabályszerűen működjön, elkerülve ezzel a tulajdonosok általi észlelést. Fertőzéskor a feltört szerver egy peer-to-peer botnet alkotóelemévé válik. Ez a konfiguráció zökkenőmentes kommunikációt tesz lehetővé az összes botnet csomópont között anélkül, hogy központi Ccommand-and-Control (C2) szerverre lenne szükség. A kutatók azt sugallják, hogy a parancsok aláírt üzenetek továbbításával a hálózaton keresztül jelenjenek meg. A rosszindulatú program további gazdagépeket céloz meg a fertőzés terjesztése érdekében azáltal, hogy összegyűjti a felhasználók listáját, IP-címeket és hozzáférési kulcsokat az SSH hálózati kommunikációs protokollhoz. Amint egy új gazdagép hozzáférést kapott, a rosszindulatú program úgy replikálja magát, mintha eredetileg megfertőzte volna a feltört szervert. Ez magában foglalja egy másolat lekérését a beépített HTTP-kiszolgálóról, és egy csomópontlista argumentumként történő végrehajtását, ezáltal kiterjesztve a hozzáférést más sebezhető rendszerekre.

A féregszerű tulajdonságokkal rendelkező botnet rosszindulatú program a népszerű Redis tárolóeszközt veszi célba képernyőkép