Il malware botnet con tratti simili a worm prende di mira il popolare strumento di archiviazione Redis

Un gruppo di hacker non identificato ha lanciato un attacco utilizzando un ceppo unico e degno di nota di malware mirato a implementazioni Redis accessibili pubblicamente. Redis è la scelta popolare di grandi aziende come Amazon, Hulu e Tinder per l'archiviazione dei dati. La caratteristica più sorprendente del malware è il suo comportamento simile a un worm, che gli consente di auto-propagarsi o replicarsi tra i sistemi senza intervento umano dopo aver ottenuto l'accesso a una rete, come evidenziato dai ricercatori.

I ricercatori di sicurezza hanno recentemente riscontrato un preoccupante ceppo di malware chiamato " P2Pinfect ". La sua notevole capacità di diffondersi e infettare autonomamente altre implementazioni Redis vulnerabili ha attirato la loro attenzione. Questo comportamento di autopropagazione solleva preoccupazioni significative in quanto può consentire al malware di espandere rapidamente la sua portata e il suo impatto. Nonostante le loro approfondite indagini, i ricercatori devono ancora identificare gli obiettivi specifici di questo malware simile a una botnet, lasciando lo scopo dietro la sua distribuzione avvolto nel mistero. Le potenziali ramificazioni di una minaccia così avanzata e autonoma hanno sollevato segnali d'allarme nella comunità della sicurezza informatica, giustificando ulteriori analisi e vigilanza per proteggersi da possibili attacchi.

L'Unità 42 di Palo Alto ha analizzato la campagna di hacking e il loro rapporto, pubblicato il 19 luglio, ha rivelato l'utilizzo da parte del malware di CVE-2022-0543 per requisire le applicazioni Redis e assimilarle in una botnet. Questa botnet comprende una raccolta di computer infetti sotto il controllo dell'hacker. Mentre la stessa vulnerabilità è stata oggetto di precedente sfruttamento per assimilare i dispositivi nella botnet Muhstik nel 2022 , l'ultimo malware, P2PInfect, sembra essere associato a una rete malevola distinta e non è collegato a Muhstik, secondo i risultati dell'Unità 42.
Il rapporto si allinea con gran parte delle scoperte dell'Unità 42, rivelando che il malware è codificato nel linguaggio di programmazione Rust e tenta di infettare altri host una volta connesso alla botnet.

Tuttavia, sono state scoperte due notevoli distinzioni. In primo luogo, il campione di malware analizzato dai loro ricercatori non ha sfruttato CVE-2022-0543 come punto di accesso iniziale. In secondo luogo, P2Pinfect ha preso di mira le istanze Redis di Windows e Linux. Hanno notato che l'utilizzo del linguaggio di programmazione Rust ha consentito al malware di funzionare su entrambe le piattaforme Windows e Linux, rendendo difficile per gli analisti analizzare il codice. Lo scopo e l'identità di coloro che stanno dietro al malware rimangono poco chiari. Sebbene i sistemi compromessi estraggano un "file minatore", non sembra eseguire attività di cripto-mining. Questo "minatore" potrebbe potenzialmente fungere da segnaposto per la futura distribuzione di cripto-mining da parte dell'attore della minaccia. Allo stesso modo, l'Unità 42 ha osservato casi della parola "minatore" nel minaccioso toolkit di P2PInfect, ma non ha trovato prove conclusive delle operazioni di cripto-mining.

Il malware ha un duplice scopo. In primo luogo, consente agli hacker di salvaguardare il server Redis da altri attori delle minacce che tentano di comprometterlo, garantendo al contempo che il server continui a funzionare in modo legittimo, evitando così il rilevamento da parte dei suoi proprietari. In caso di infezione, il server compromesso diventa un componente di una botnet peer-to-peer. Questa configurazione consente una comunicazione continua tra tutti i nodi botnet senza la necessità di un server Ccommand-and-Control (C2) centralizzato. I ricercatori suggeriscono che i comandi vengano implementati trasmettendo messaggi firmati attraverso la rete. Il malware si rivolge a host aggiuntivi per propagare l'infezione raccogliendo un elenco di utenti, indirizzi IP e chiavi di accesso per il protocollo di comunicazione di rete SSH. Una volta che un nuovo host ha ottenuto l'accesso, il malware si replica come se avesse inizialmente infettato il server compromesso. Ciò comporta il recupero di una copia di se stesso dal server HTTP integrato e la sua esecuzione con un elenco di nodi come argomento, espandendo così la sua portata ad altri sistemi vulnerabili.

Il malware botnet con tratti simili a worm prende di mira il popolare strumento di archiviazione Redis screenshot