वर्म-जस्तो लक्षणहरू भएको बोटनेट मालवेयरले लोकप्रिय रेडिस भण्डारण उपकरणमा लक्ष्य लिन्छ

एक अज्ञात ह्याकर समूहले सार्वजनिक रूपमा पहुँचयोग्य Redis तैनातीहरूलाई लक्षित गर्ने मालवेयरको एक अद्वितीय र उल्लेखनीय तनाव प्रयोग गरेर आक्रमण सुरु गरेको छ। रेडिस डेटा भण्डारणको लागि Amazon, Hulu र Tinder जस्ता प्रमुख कम्पनीहरूको लोकप्रिय विकल्प हो। मालवेयरको सबैभन्दा उल्लेखनीय विशेषता भनेको यसको कीड़ा-जस्तो व्यवहार हो, जसले यसलाई नेटवर्कमा पहुँच प्राप्त गरेपछि मानव हस्तक्षेप बिना प्रणालीहरूमा आत्म-प्रसार वा प्रतिकृति गर्न अनुमति दिन्छ, अनुसन्धानकर्ताहरूले हाइलाइट गरे अनुसार।

सुरक्षा अन्वेषकहरूले हालसालै " P2Pinfect " डब गरिएको मालवेयरको बारेमा चिन्ताको सामना गरेका छन्। स्वायत्त रूपमा फैलाउने र अन्य कमजोर रेडिस तैनातीहरूलाई संक्रमित गर्ने यसको उल्लेखनीय क्षमताले उनीहरूको ध्यान खिच्यो। यो आत्म-प्रसार व्यवहारले महत्त्वपूर्ण चिन्ताहरू खडा गर्दछ किनकि यसले मालवेयरलाई आफ्नो पहुँच विस्तार गर्न र द्रुत रूपमा प्रभाव पार्न सक्षम बनाउन सक्छ। तिनीहरूको व्यापक अनुसन्धानको बावजुद, अन्वेषकहरूले अझै यस बोटनेट-जस्तो मालवेयरको विशिष्ट लक्ष्यहरू पहिचान गर्न सकेका छैनन्, यसको तैनाती पछाडिको उद्देश्यलाई रहस्यमा ढाकेको छ। यस्तो उन्नत र स्वायत्त खतराको सम्भावित असरहरूले साइबर सुरक्षा समुदायमा रातो झण्डा खडा गरेको छ, थप विश्लेषण र सम्भावित आक्रमणहरूबाट जोगाउन सतर्कताको वारेन्टी गर्दै।

पालो अल्टोको युनिट 42 ले ह्याकिङ अभियानको विश्लेषण गर्‍यो, र जुलाई 19 मा जारी गरिएको तिनीहरूको रिपोर्टले रेडिस अनुप्रयोगहरूलाई कमाण्डर गर्न र तिनीहरूलाई बोटनेटमा आत्मसात गर्न मालवेयरले CVE-2022-0543 को उपयोग गरेको खुलासा गर्‍यो। यो बोटनेटले ह्याकरको नियन्त्रणमा रहेका संक्रमित कम्प्युटरहरूको सङ्ग्रह समावेश गर्दछ। 2022 मा Muhstik botnet मा यन्त्रहरू आत्मसात गर्न अघिल्लो शोषणको अधीनमा उही कमजोरी हुँदा, पछिल्लो मालवेयर, P2PInfect, एक विशिष्ट malevolent नेटवर्कसँग सम्बन्धित देखिन्छ र Muhstik सँग लिङ्क गरिएको छैन, इकाई 42 को निष्कर्ष अनुसार।
रिपोर्टले युनिट 42 को धेरै निष्कर्षहरूसँग पङ्क्तिबद्ध छ, मालवेयर रस्ट प्रोग्रामिङ भाषामा कोड गरिएको छ र बोटनेटमा जडान भएपछि अन्य होस्टहरूलाई संक्रमित गर्ने प्रयास गरेको छ।

यद्यपि, यो दुई उल्लेखनीय भिन्नताहरू पत्ता लाग्यो। सबैभन्दा पहिले, तिनीहरूका शोधकर्ताहरूद्वारा विश्लेषण गरिएको मालवेयर नमूनाले प्रारम्भिक पहुँच बिन्दुको रूपमा CVE-2022-0543 को शोषण गरेन। दोस्रो, P2Pinfect ले दुबै विन्डोज र लिनक्स रेडिस उदाहरणहरूलाई लक्षित गर्यो। तिनीहरूले नोट गरे कि रस्ट प्रोग्रामिङ भाषाको प्रयोगले मालवेयरलाई विन्डोज र लिनक्स प्लेटफर्महरूमा काम गर्न अनुमति दियो जबकि विश्लेषकहरूलाई कोडको विश्लेषण गर्न चुनौतीपूर्ण बनायो। मालवेयर पछाडिको उद्देश्य र पहिचान अस्पष्ट रहन्छ। यद्यपि सम्झौता प्रणालीहरूले "माइनर फाइल" तान्छन्, यसले क्रिप्टो-खनन कार्यहरू प्रदर्शन गरेको देखिँदैन। यो "खनिक" ले सम्भावित रूपमा खतरा अभिनेताद्वारा भविष्यको क्रिप्टो-खनन वितरणको लागि प्लेसहोल्डरको रूपमा सेवा गर्न सक्छ। त्यसैगरी, एकाइ ४२ ले P2PInfect को धम्की दिने टुलकिटमा "खनिक" शब्दको उदाहरणहरू अवलोकन गर्‍यो तर क्रिप्टो-खनन सञ्चालनको निर्णायक प्रमाण फेला पारेन।

मालवेयरको दुई गुणा उद्देश्य छ। सर्वप्रथम, यसले ह्याकरहरूलाई Redis सर्भरलाई अन्य खतराकर्ताहरूबाट जोगाउन अनुमति दिन्छ र सर्भरले वैध रूपमा सञ्चालन गर्न जारी राखेको सुनिश्चित गर्दै, यसका मालिकहरूद्वारा पत्ता लगाउनबाट जोगिन। संक्रमण भएपछि, सम्झौता गरिएको सर्भर पियर-टू-पियर बोटनेटको घटक हुन्छ। यो कन्फिगरेसनले केन्द्रीकृत Ccommand-and-Control (C2) सर्भरको आवश्यकता बिना सबै बोटनेट नोडहरू बीच सिमलेस संचार सक्षम गर्दछ। अन्वेषकहरूले सुझाव दिन्छ कि सञ्जालमा हस्ताक्षर गरिएका सन्देशहरू प्रसारण गरेर आदेशहरू रोल आउट गर्नुहोस्। मालवेयरले प्रयोगकर्ताहरूको सूची, IP ठेगानाहरू, र SSH नेटवर्क सञ्चार प्रोटोकलका लागि पहुँच कुञ्जीहरू जम्मा गरेर संक्रमण फैलाउन थप होस्टहरूलाई लक्षित गर्दछ। एकचोटि नयाँ होस्टले पहुँच प्राप्त गरेपछि, मालवेयरले आफैंलाई नक्कल गर्दछ जस्तै यसले प्रारम्भिक रूपमा सम्झौता गरिएको सर्भरलाई संक्रमित गर्यो। यसमा बिल्ट-इन HTTP सर्भरबाट आफैंको प्रतिलिपि ल्याउने र तर्कको रूपमा नोड सूचीको साथ कार्यान्वयन गर्ने समावेश छ, जसले गर्दा यसको पहुँच अन्य कमजोर प्रणालीहरूमा विस्तार हुन्छ।

वर्म-जस्तो लक्षणहरू भएको बोटनेट मालवेयरले लोकप्रिय रेडिस भण्डारण उपकरणमा लक्ष्य लिन्छ स्क्रिनसटहरू