Perisian Hasad Botnet dengan Ciri-ciri Seperti Cacing Menyasarkan Alat Penyimpanan Redis yang Popular

Kumpulan penggodam yang tidak dikenali telah melancarkan serangan menggunakan jenis perisian hasad yang unik dan patut diberi perhatian yang menyasarkan penggunaan Redis yang boleh diakses secara umum. Redis ialah pilihan popular syarikat utama seperti Amazon, Hulu dan Tinder untuk penyimpanan data. Ciri perisian hasad yang paling menarik ialah tingkah laku seperti cacing, membolehkannya menyebarkan sendiri atau mereplikasi merentasi sistem tanpa campur tangan manusia selepas mendapat akses kepada rangkaian, seperti yang diserlahkan oleh penyelidik.

Penyelidik keselamatan baru-baru ini menemui jenis perisian hasad yang membimbangkan yang digelar " P2Pinfect ." Keupayaannya yang luar biasa untuk menyebarkan dan menjangkiti penyebaran Redis lain yang mudah terjejas menarik perhatian mereka. Tingkah laku penyebaran diri ini menimbulkan kebimbangan yang ketara kerana ia boleh membolehkan perisian hasad meluaskan jangkauan dan kesannya dengan cepat. Walaupun penyiasatan meluas mereka, para penyelidik masih belum mengenal pasti sasaran khusus perisian hasad seperti botnet ini, meninggalkan tujuan di sebalik penggunaannya diselubungi misteri. Dampak yang berpotensi daripada ancaman maju dan autonomi sedemikian telah menimbulkan tanda merah dalam komuniti keselamatan siber, yang memerlukan analisis lanjut dan kewaspadaan untuk melindungi daripada kemungkinan serangan.

Unit 42 Palo Alto menganalisis kempen penggodaman, dan laporan mereka, yang dikeluarkan pada 19 Julai, mendedahkan penggunaan perisian hasad CVE-2022-0543 untuk mengawal aplikasi Redis dan mengasimilasikannya ke dalam botnet. Botnet ini terdiri daripada koleksi komputer yang dijangkiti di bawah kawalan penggodam. Walaupun kerentanan yang sama tertakluk kepada eksploitasi sebelum ini untuk mengasimilasikan peranti ke dalam botnet Muhstik pada tahun 2022 , perisian hasad terbaharu, P2PInfect, nampaknya dikaitkan dengan rangkaian jahat yang berbeza dan tidak dikaitkan dengan Muhstik, menurut penemuan Unit 42.
Laporan itu sejajar dengan kebanyakan penemuan Unit 42, mendedahkan bahawa perisian hasad dikodkan dalam bahasa pengaturcaraan Rust dan cuba menjangkiti hos lain setelah disambungkan ke botnet.

Walau bagaimanapun, ia telah menemui dua perbezaan yang ketara. Pertama, sampel perisian hasad yang dianalisis oleh penyelidik mereka tidak mengeksploitasi CVE-2022-0543 sebagai titik akses awal. Kedua, P2Pinfect menyasarkan kedua-dua contoh Windows dan Linux Redis. Mereka menyatakan bahawa menggunakan bahasa pengaturcaraan Rust membenarkan perisian hasad berfungsi pada kedua-dua platform Windows dan Linux sambil menjadikannya mencabar bagi penganalisis untuk menganalisis kod tersebut. Tujuan dan identiti mereka di sebalik perisian hasad masih tidak jelas. Walaupun sistem yang terjejas menarik "fail penambang," ia nampaknya tidak melaksanakan tugas perlombongan kripto. "Pelombong" ini berpotensi berfungsi sebagai pemegang tempat untuk pengedaran perlombongan kripto pada masa hadapan oleh aktor ancaman. Begitu juga, Unit 42 memerhatikan contoh perkataan "pelombong" dalam kit alat mengancam P2PInfect tetapi tidak menemui bukti konklusif mengenai operasi perlombongan kripto.

Malware mempunyai tujuan dua kali ganda. Pertama, ia membenarkan penggodam untuk melindungi pelayan Redis daripada pelakon ancaman lain yang cuba menjejaskannya sambil memastikan pelayan terus beroperasi secara sah, sekali gus mengelakkan pengesanan oleh pemiliknya. Selepas jangkitan, pelayan yang terjejas menjadi juzuk botnet peer-to-peer. Konfigurasi ini membolehkan komunikasi lancar antara semua nod botnet tanpa memerlukan pelayan Ccommand-and-Control (C2) terpusat. Penyelidik mencadangkan bahawa arahan dilancarkan dengan menghantar mesej yang ditandatangani ke seluruh rangkaian. Malware menyasarkan hos tambahan untuk menyebarkan jangkitan dengan mengumpulkan senarai pengguna, alamat IP dan kunci akses untuk protokol komunikasi rangkaian SSH. Sebaik sahaja hos baharu telah mendapat akses, perisian hasad itu mereplikasi dirinya seperti pada mulanya menjangkiti pelayan yang terjejas. Ini melibatkan pengambilan salinan dirinya sendiri daripada pelayan HTTP terbina dalam dan melaksanakannya dengan senarai nod sebagai hujah, dengan itu meluaskan capaiannya kepada sistem lain yang terdedah.

Perisian Hasad Botnet dengan Ciri-ciri Seperti Cacing Menyasarkan Alat Penyimpanan Redis yang Popular Tangkapan skrin