Malware P2Pinfect

Gli attori delle minacce stanno effettuando attacchi a istanze vulnerabili di SSH e Redis, un data store open source. Questi attori fraudolenti utilizzano un worm autoreplicante peer-to-peer noto come P2Pinfect, che ha versioni progettate per i sistemi operativi Windows e Linux.

Sviluppato nel linguaggio di programmazione Rust, il malware P2Pinfect utilizza almeno due metodi per ottenere l'accesso iniziale ai sistemi bersaglio. Il primo metodo sfrutta una vulnerabilità critica che è stata divulgata e corretta nel 2022. Il secondo metodo sfrutta una funzionalità all'interno di Redis che consente la replica del database principale per una migliore disponibilità elevata e per contrastare gli scenari di failover.

Il malware P2Pinfect utilizza diversi vettori di infezione

Inizialmente, P2PInfect sfruttava una vulnerabilità critica identificata come CVE-2022-0543, che aveva un punteggio di gravità massimo di 10 su 10. Questa falla di sicurezza riguardava specificamente i sistemi Debian e riguardava una vulnerabilità di fuga sandbox LUA risultante da un problema di impacchettamento. Lo sfruttamento di questa vulnerabilità ha garantito capacità di esecuzione di codice in modalità remota, rappresentando una minaccia significativa per i sistemi interessati.

Una volta che un'istanza Redis vulnerabile viene compromessa utilizzando un payload iniziale, P2PInfect procede a scaricare nuovi script e file binari dannosi su misura per il sistema operativo specifico. Inoltre, il server infetto viene inserito nell'elenco dei sistemi compromessi del malware. Successivamente, il malware integra il server infetto nella sua rete peer-to-peer, facilitando la diffusione di payload dannosi ai futuri server Redis compromessi.

I ricercatori che hanno indagato su P2PInfect hanno anche scoperto un campione che ha dimostrato la compatibilità multipiattaforma, indicando che il malware è stato progettato per colpire sia gli ambienti Windows che Linux. Questo particolare campione conteneva i binari Portable Executable (PE) e ELF, consentendogli di funzionare su entrambi i sistemi operativi senza problemi. È interessante notare che questa variante utilizzava un diverso metodo di accesso iniziale, sfruttando la funzionalità di replica Redis, che consente la generazione di repliche esatte dell'istanza Redis principale/leader.

Il malware P2Pinfect si diffonde e aggiunge i sistemi compromessi a una botnet

Il payload principale del malware è un binario ELF, scritto in modo intelligente in una combinazione di linguaggi di programmazione C e Rust. Al momento dell'esecuzione, attiva il componente Rust del payload per prendere il sopravvento.

Una volta attivato, il binario procede ad apportare modifiche critiche alla configurazione SSH sull'host di destinazione. Modifica la configurazione del server OpenSSH in modo che assomigli a uno stato quasi predefinito, concedendo all'aggressore l'accesso al server tramite il protocollo Secure Shell (SSH) e abilitando l'autenticazione della password. Successivamente, l'autore della minaccia riavvia il servizio SSH e aggiunge una chiave SSH all'elenco delle chiavi autorizzate per l'utente corrente, garantendo l'accesso senza ostacoli al sistema compromesso.

Nella fase successiva, l'attaccante distribuisce uno script bash per manipolare i nomi dei binari wget e curl. Lo script verifica anche la presenza di utilità specifiche e le installa se non sono già disponibili. L'uso di un'utilità firewall sembra essere una misura impiegata dal malware per salvaguardare il server Redis vulnerabile da altri potenziali aggressori. Il malware stabilisce la persistenza sull'host compromesso, garantendone il funzionamento continuo.

Successivamente, il server infetto viene dotato di almeno un file binario in grado di scansionare la directory /proc e accedere alle statistiche per ogni processo al suo interno. Inoltre, il file binario può monitorare attivamente la directory /proc per eventuali modifiche.

Inoltre, il binario possiede la capacità di aggiornare il binario principale del malware ed eseguirlo se la firma corrente non corrisponde a quella recuperata dalla botnet.

Trattando ogni server Redis compromesso come un nodo, P2PInfect trasforma la rete in una botnet peer-to-peer. Questa botnet funziona senza la necessità di un server centralizzato di comando e controllo (C2), garantendogli la possibilità di ricevere istruzioni in modo autonomo.