Bottīkla ļaunprātīga programmatūra ar tārpiem līdzīgām iezīmēm ir vērsta uz populāro Redis krātuves rīku

Neidentificēta hakeru grupa ir sākusi uzbrukumu, izmantojot unikālu un ievērības cienīgu ļaunprātīgas programmatūras celmu, kas vērsta uz publiski pieejamām Redis izvietošanām. Redis ir populāra lielāko uzņēmumu, piemēram, Amazon, Hulu un Tinder, izvēle datu glabāšanai. Kā norāda pētnieki, ļaunprogrammatūras pārsteidzošākā iezīme ir tārpu darbība, kas ļauj tai pašai izplatīties vai replicēties sistēmās bez cilvēka iejaukšanās pēc piekļuves tīklam.

Drošības pētnieki nesen ir saskārušies ar satraucošu ļaunprātīgas programmatūras celmu, ko sauc par " P2Pinfect ". Viņu uzmanību piesaistīja tā ievērojamā spēja autonomi izplatīties un inficēt citus neaizsargātus Redis izvietojumus. Šāda pašizplatīšanās darbība rada nopietnas bažas, jo tā var ļaut ļaunprātīgai programmatūrai ātri paplašināt savu sasniedzamību un ietekmi. Neskatoties uz plašo izmeklēšanu, pētniekiem vēl ir jāidentificē šīs robottīkliem līdzīgās ļaunprātīgās programmatūras konkrētie mērķi, atstājot tās izvietošanas mērķi noslēpumā. Šāda progresīva un autonoma apdraudējuma iespējamās sekas kiberdrošības kopienā ir izvirzījušas sarkanus karogus, kas prasa turpmāku analīzi un modrību, lai aizsargātos pret iespējamiem uzbrukumiem.

Palo Alto 42. nodaļa analizēja uzlaušanas kampaņu, un viņu ziņojums, kas tika publicēts 19. jūlijā, atklāja ļaunprātīgas programmatūras CVE-2022-0543 izmantošanu, lai vadītu Redis lietojumprogrammas un asimilētu tās robottīklā. Šis robottīkls ietver inficētu datoru kolekciju, ko kontrolē hakeris. Lai gan šī pati ievainojamība tika iepriekš izmantota, lai 2022. gadā asimilētu ierīces Muhstik robottīklā , šķiet, ka jaunākā ļaunprogrammatūra P2PInfect ir saistīta ar noteiktu ļaunprātīgu tīklu un nav saistīta ar Muhstik saskaņā ar 42. nodaļas konstatējumiem.
Ziņojums saskan ar lielāko daļu 42. nodaļas atklājumu, atklājot, ka ļaunprogrammatūra ir kodēta Rust programmēšanas valodā un mēģina inficēt citus saimniekdatorus, kad tie ir savienoti ar robottīklu.

Tomēr tika atklātas divas ievērojamas atšķirības. Pirmkārt, viņu pētnieku analizētajā ļaunprātīgās programmatūras paraugā CVE-2022-0543 netika izmantots kā sākotnējais piekļuves punkts. Otrkārt, P2Pinfect mērķauditorija bija gan Windows, gan Linux Redis gadījumi. Viņi atzīmēja, ka Rust programmēšanas valodas izmantošana ļāva ļaunprogrammatūrai darboties gan Windows, gan Linux platformās, vienlaikus padarot analītiķiem izaicinājumu analizēt kodu. Ļaunprātīgās programmatūras mērķis un identitāte joprojām nav skaidra. Lai gan apdraudētās sistēmas izvelk "kalnraču failu", šķiet, ka tās neveic kriptoraktuves uzdevumus. Šis "kalnracis" varētu kalpot kā vietturis draudu dalībnieka turpmākajai kriptoraktuves izplatīšanai. Līdzīgi, 42. nodaļa novēroja vārda “miner” gadījumus P2PInfect draudu komplektā, taču neatrada pārliecinošus pierādījumus par kriptoraktuves operācijām.

Ļaunprātīgai programmatūrai ir divi mērķi. Pirmkārt, tas ļauj hakeriem aizsargāt Redis serveri no citiem apdraudējuma dalībniekiem, kas mēģina to apdraudēt, vienlaikus nodrošinot, ka serveris turpina darboties likumīgi, tādējādi izvairoties no tā, ka tā īpašnieki to atklāj. Pēc inficēšanās apdraudētais serveris kļūst par vienādranga robottīkla sastāvdaļu. Šī konfigurācija nodrošina netraucētu saziņu starp visiem robottīkla mezgliem, neizmantojot centralizētu Ccommand-and-Control (C2) serveri. Pētnieki norāda, ka komandas tiek izplatītas, pārraidot parakstītus ziņojumus visā tīklā. Ļaunprātīga programmatūra ir vērsta uz papildu saimniekiem, lai izplatītu infekciju, apkopojot lietotāju sarakstu, IP adreses un piekļuves atslēgas SSH tīkla sakaru protokolam. Kad jauns resursdators ir ieguvis piekļuvi, ļaunprogrammatūra atkārtojas tā, it kā tā sākotnēji būtu inficējusi apdraudēto serveri. Tas ietver savas kopijas ienešanu no iebūvētā HTTP servera un tās izpildi, izmantojot mezglu sarakstu kā argumentu, tādējādi paplašinot tā sasniedzamību uz citām neaizsargātām sistēmām.

Bottīkla ļaunprātīga programmatūra ar tārpiem līdzīgām iezīmēm ir vērsta uz populāro Redis krātuves rīku ekrānuzņēmumi