Botnet-skadelig programvare med ormlignende egenskaper tar sikte på det populære Redis-lagringsverktøyet

En uidentifisert hackergruppe har satt i gang et angrep ved å bruke en unik og bemerkelsesverdig stamme av skadelig programvare rettet mot offentlig tilgjengelige Redis-distribusjoner. Redis er det populære valget av store selskaper som Amazon, Hulu og Tinder for datalagring. Skadevarens mest slående funksjon er dens ormlignende oppførsel, som lar den forplante seg eller replikere på tvers av systemer uten menneskelig innblanding etter å ha fått tilgang til et nettverk, som fremhevet av forskere.

Sikkerhetsforskere har nylig støtt på en bekymringsfull stamme av skadelig programvare kalt " P2Pinfect ." Dens bemerkelsesverdige evne til autonomt å spre og infisere andre sårbare Redis-distribusjoner fanget oppmerksomheten deres. Denne selvformidlingsatferden vekker betydelige bekymringer ettersom den kan gjøre det mulig for skadelig programvare å utvide rekkevidden og virkningen raskt. Til tross for deres omfattende etterforskning, har forskerne ennå ikke identifisert de spesifikke målene for denne botnett-lignende skadelig programvare, og hensikten bak distribusjonen er innhyllet i mystikk. De potensielle konsekvensene av en slik avansert og autonom trussel har hevet røde flagg i cybersikkerhetssamfunnet, noe som garanterer ytterligere analyse og årvåkenhet for å beskytte mot mulige angrep.

Palo Altos Unit 42 analyserte hackingkampanjen, og rapporten deres, utgitt 19. juli, avslørte skadelig programvares bruk av CVE-2022-0543 for å styre Redis-applikasjoner og assimilere dem i et botnett. Dette botnettet består av en samling infiserte datamaskiner under hackerens kontroll. Mens den samme sårbarheten var gjenstand for tidligere utnyttelse for å assimilere enheter i Muhstik-botnettet i 2022 , ser den siste skadelige programvaren, P2PInfect, ut til å være assosiert med et distinkt ondsinnet nettverk og er ikke knyttet til Muhstik, ifølge funnene til Unit 42.
Rapporten stemmer overens med mye av funnene til enhet 42, og avslører at skadelig programvare er kodet i Rust-programmeringsspråket og forsøker å infisere andre verter når de er koblet til botnettet.

Imidlertid ble det oppdaget to bemerkelsesverdige distinksjoner. For det første utnyttet ikke skadevareprøven analysert av forskerne CVE-2022-0543 som det første tilgangspunktet. For det andre målrettet P2Pinfect både Windows- og Linux Redis-forekomster. De bemerket at bruk av Rust-programmeringsspråket tillot skadelig programvare å fungere på både Windows- og Linux-plattformer, samtidig som det gjorde det utfordrende for analytikere å analysere koden. Hensikten og identiteten til de bak skadevaren er fortsatt uklar. Selv om kompromitterte systemer trekker en "miner-fil", ser det ikke ut til at den utfører kryptogruveoppgaver. Denne "gruvearbeideren" kan potensielt tjene som en plassholder for fremtidig kryptogruvedistribusjon av trusselaktøren. På samme måte observerte enhet 42 forekomster av ordet "miner" i P2PInfects truende verktøysett, men fant ikke avgjørende bevis for kryptogruvedrift.

Skadevaren har et todelt formål. For det første lar det hackere beskytte Redis-serveren fra andre trusselaktører som forsøker å kompromittere den samtidig som den sikrer at serveren fortsetter å fungere legitimt, og dermed unngår eierne oppdagelse. Ved infeksjon blir den kompromitterte serveren en bestanddel av et peer-to-peer-botnett. Denne konfigurasjonen muliggjør sømløs kommunikasjon mellom alle botnettnoder uten behov for en sentralisert Ccommand-and-Control (C2) server. Forskere foreslår at kommandoer rulles ut ved å overføre signerte meldinger over nettverket. Skadevaren retter seg mot flere verter for å spre infeksjonen ved å samle en liste over brukere, IP-adresser og tilgangsnøkler for SSH-nettverkskommunikasjonsprotokollen. Når en ny vert har fått tilgang, replikerer skadevaren seg selv som om den opprinnelig infiserte den kompromitterte serveren. Det innebærer å hente en kopi av seg selv fra den innebygde HTTP-serveren og kjøre den med en nodeliste som argument, og dermed utvide rekkevidden til andre sårbare systemer.

Botnet-skadelig programvare med ormlignende egenskaper tar sikte på det populære Redis-lagringsverktøyet skjermbilder