Botnet-malware met wormachtige eigenschappen richt zich op de populaire Redis-opslagtool

Een niet-geïdentificeerde hackergroep heeft een aanval gelanceerd met behulp van een unieke en opmerkelijke soort malware gericht op openbaar toegankelijke Redis-implementaties. Redis is de populaire keuze van grote bedrijven als Amazon, Hulu en Tinder voor gegevensopslag. Het meest opvallende kenmerk van de malware is het wormachtige gedrag, waardoor het zichzelf kan verspreiden of repliceren tussen systemen zonder menselijke tussenkomst nadat het toegang heeft gekregen tot een netwerk, zoals benadrukt door onderzoekers.

Beveiligingsonderzoekers zijn onlangs een zorgwekkende malwarestam tegengekomen die " P2Pinfect " wordt genoemd. Hun opmerkelijke vermogen om autonoom andere kwetsbare Redis-implementaties te verspreiden en te infecteren, trok hun aandacht. Dit zelfverspreidende gedrag baart grote zorgen, omdat het de malware in staat kan stellen zijn bereik en impact snel uit te breiden. Ondanks hun uitgebreide onderzoek hebben de onderzoekers de specifieke doelen van deze botnet-achtige malware nog niet geïdentificeerd, waardoor het doel achter de inzet in mysterie gehuld blijft. De mogelijke gevolgen van zo'n geavanceerde en autonome dreiging hebben geleid tot rode vlaggen in de cyberbeveiligingsgemeenschap, wat verdere analyse en waakzaamheid rechtvaardigt ter bescherming tegen mogelijke aanvallen.

Palo Alto's Unit 42 analyseerde de hackcampagne en hun rapport, uitgebracht op 19 juli, onthulde het gebruik van CVE-2022-0543 door de malware om Redis-applicaties op te eisen en te assimileren in een botnet. Dit botnet bestaat uit een verzameling geïnfecteerde computers onder controle van de hacker. Hoewel dezelfde kwetsbaarheid in 2022 eerder werd misbruikt om apparaten in het Muhstik-botnet te integreren, lijkt de nieuwste malware, P2PInfect, volgens de bevindingen van Unit 42 te zijn gekoppeld aan een afzonderlijk kwaadaardig netwerk en niet aan Muhstik.
Het rapport komt overeen met veel van de bevindingen van Unit 42 en onthult dat de malware is gecodeerd in de Rust-programmeertaal en probeert andere hosts te infecteren zodra deze met het botnet zijn verbonden.

Er werden echter twee opmerkelijke verschillen ontdekt. Ten eerste maakte het door hun onderzoekers geanalyseerde malwaremonster geen gebruik van CVE-2022-0543 als initieel toegangspunt. Ten tweede richtte P2Pinfect zich op zowel Windows- als Linux Redis-instanties. Ze merkten op dat het gebruik van de Rust-programmeertaal ervoor zorgde dat de malware op zowel Windows- als Linux-platforms kon functioneren, terwijl het voor analisten een uitdaging werd om de code te analyseren. Het doel en de identiteit van degenen achter de malware blijven onduidelijk. Hoewel gecompromitteerde systemen een "miner-bestand" ophalen, lijkt het geen crypto-mining-taken uit te voeren. Deze "mijnwerker" zou mogelijk kunnen dienen als tijdelijke aanduiding voor toekomstige verspreiding van cryptomining door de bedreigingsactor. Evenzo observeerde Unit 42 gevallen van het woord "miner" in de dreigende toolkit van P2PInfect, maar vond geen sluitend bewijs van crypto-mining-operaties.

De malware heeft een tweeledig doel. Ten eerste stelt het hackers in staat om de Redis-server te beschermen tegen andere bedreigingsactoren die deze proberen te compromitteren, terwijl de server legitiem blijft werken, waardoor detectie door de eigenaren wordt vermeden. Na infectie wordt de gecompromitteerde server een onderdeel van een peer-to-peer botnet. Deze configuratie maakt naadloze communicatie mogelijk tussen alle botnet-knooppunten zonder dat een gecentraliseerde Ccommand-and-Control (C2)-server nodig is. Onderzoekers suggereren dat commando's worden uitgerold door ondertekende berichten over het netwerk te verzenden. De malware richt zich op extra hosts om de infectie te verspreiden door een lijst met gebruikers, IP-adressen en toegangssleutels voor het SSH-netwerkcommunicatieprotocol te verzamelen. Zodra een nieuwe host toegang heeft gekregen, repliceert de malware zichzelf alsof het de gecompromitteerde server aanvankelijk heeft geïnfecteerd. Dat omvat het ophalen van een kopie van zichzelf van de ingebouwde HTTP-server en het uitvoeren ervan met een knooppuntlijst als argument, waardoor het bereik wordt uitgebreid naar andere kwetsbare systemen.

Botnet-malware met wormachtige eigenschappen richt zich op de populaire Redis-opslagtool schermafbeeldingen