P2Pinfect ļaunprātīga programmatūra

Draudu dalībnieki veic uzbrukumus neaizsargātiem SSH un Redis, atvērtā pirmkoda datu krātuves gadījumiem. Šie krāpnieciskie dalībnieki izmanto vienādranga pašreplicējošu tārpu, kas pazīstams kā P2Pinfect, kura versijas ir paredzētas gan Windows, gan Linux operētājsistēmām.

P2Pinfect ļaunprogrammatūra, kas izstrādāta Rust programmēšanas valodā, izmanto vismaz divas metodes, lai iegūtu sākotnējo piekļuvi mērķa sistēmām. Pirmajā metodē tiek izmantota kritiska ievainojamība, kas tika atklāta un izlabota 2022. gadā. Otrā metode izmanto Redis līdzekli, kas nodrošina galvenās datu bāzes replikāciju, lai uzlabotu augstu pieejamību un novērstu kļūmjpārlēces scenārijus.

P2Pinfect ļaunprogrammatūra izmanto dažādus infekcijas vektorus

Sākotnēji P2PInfect izmantoja kritisko ievainojamību, kas identificēta kā CVE-2022-0543 un kuras maksimālais smaguma rādītājs bija 10 no 10. Šis drošības trūkums īpaši skāra Debian sistēmas un attiecās uz LUA smilškastes aizbēgšanas ievainojamību, kas radās iepakojuma problēmas dēļ. Šīs ievainojamības izmantošana nodrošināja attālas koda izpildes iespējas, radot nopietnus draudus ietekmētajām sistēmām.

Kad ievainojamā Redis instance ir apdraudēta, izmantojot sākotnējo lietderīgo slodzi, P2PInfect turpina lejupielādēt jaunus skriptus un ļaunprātīgas bināros failus, kas pielāgoti konkrētajai operētājsistēmai. Turklāt inficētais serveris ir iekļauts ļaunprātīgās programmatūras apdraudēto sistēmu sarakstā. Pēc tam ļaunprogrammatūra integrē inficēto serveri savā vienādranga tīklā, atvieglojot ļaunprātīgas slodzes izplatīšanu uz turpmākajiem apdraudētajiem Redis serveriem.

Pētnieki, kas izmeklēja P2PInfect, atklāja arī paraugu, kas demonstrēja saderību starp platformām, norādot, ka ļaunprogrammatūra bija paredzēta gan Windows, gan Linux vidēm. Šajā konkrētajā paraugā bija Portable Executable (PE) un ELF binārie faili, kas ļāva tam nevainojami darboties abās operētājsistēmās. Interesanti, ka šajā variantā tika izmantota cita sākotnējās piekļuves metode, izmantojot Redis replikācijas līdzekli, kas ļauj ģenerēt precīzas galvenās / vadošās Redis instances kopijas.

P2Pinfect ļaunprogrammatūra izplatās un pievieno apdraudētās sistēmas robottīklam

Ļaunprātīgās programmatūras galvenā slodze ir ELF binārais fails, kas gudri rakstīts C un Rust programmēšanas valodu kombinācijā. Pēc izpildes tas aktivizē lietderīgās kravas Rust komponenta pārņemšanu.

Pēc aktivizēšanas binārais fails turpina veikt būtiskas SSH konfigurācijas izmaiņas mērķa resursdatorā. Tas pārveido OpenSSH servera konfigurāciju, lai tā atgādinātu gandrīz noklusējuma stāvokli, nodrošinot uzbrucējam piekļuvi serverim, izmantojot SSH protokolu, un iespējojot paroles autentifikāciju. Pēc tam draudu dalībnieks restartē SSH pakalpojumu un pašreizējā lietotāja autorizēto atslēgu sarakstam pievieno SSH atslēgu, nodrošinot netraucētu piekļuvi apdraudētajai sistēmai.

Nākamajā fāzē uzbrucējs izvieto bash skriptu, lai manipulētu ar wget un curl bināro failu nosaukumiem. Skripts arī pārbauda noteiktu utilītu klātbūtni un instalē tos, ja tie vēl nav pieejami. Šķiet, ka ugunsmūra utilīta izmantošana ir ļaunprogrammatūras pasākums, lai aizsargātu ievainojamo Redis serveri no citiem iespējamiem uzbrucējiem. Ļaunprātīga programmatūra nodrošina noturību apdraudētajā resursdatorā, nodrošinot tā nepārtrauktu darbību.

Pēc tam inficētais serveris ir aprīkots ar vismaz vienu bināro failu, kas spēj skenēt /proc direktoriju un piekļūt katra procesa statistikai. Turklāt binārais fails var aktīvi pārraudzīt /proc direktoriju, lai konstatētu izmaiņas.

Turklāt binārajam failam ir iespēja jaunināt primāro ļaunprogrammatūras bināro failu un izpildīt to, ja pašreizējais paraksts neatbilst tam, kas izgūts no robottīkla.

Uzskatot katru apdraudēto Redis serveri kā mezglu, P2PInfect pārveido tīklu par vienādranga robottīklu. Šis robottīkls darbojas bez nepieciešamības pēc centralizēta Command-and-Control (C2) servera, nodrošinot tam iespēju autonomi saņemt norādījumus.