Złośliwe oprogramowanie typu botnet z cechami podobnymi do robaków atakuje popularne narzędzie do przechowywania danych Redis

Niezidentyfikowana grupa hakerów przeprowadziła atak przy użyciu unikalnego i godnego uwagi szczepu złośliwego oprogramowania, którego celem są publicznie dostępne wdrożenia Redis. Redis jest popularnym wyborem dużych firm, takich jak Amazon, Hulu i Tinder do przechowywania danych. Najbardziej uderzającą cechą złośliwego oprogramowania jest jego zachowanie podobne do robaka, które umożliwia mu samorozprzestrzenianie się lub replikację w systemach bez interwencji człowieka po uzyskaniu dostępu do sieci, co podkreślili badacze.

Analitycy bezpieczeństwa natknęli się ostatnio na niepokojący szczep złośliwego oprogramowania o nazwie „ P2Pinfect ”. Ich uwagę przykuła niezwykła zdolność do autonomicznego rozprzestrzeniania się i infekowania innych wrażliwych wdrożeń Redis. To samorozprzestrzeniające się zachowanie budzi poważne obawy, ponieważ może umożliwić złośliwemu oprogramowaniu szybkie zwiększenie zasięgu i wpływu. Pomimo szeroko zakrojonych badań badacze nie zidentyfikowali jeszcze konkretnych celów tego złośliwego oprogramowania podobnego do botnetu, pozostawiając tajemnicę celu jego wdrożenia. Potencjalne konsekwencje takiego zaawansowanego i autonomicznego zagrożenia wzbudziły czerwone flagi w społeczności zajmującej się cyberbezpieczeństwem, co uzasadnia dalszą analizę i czujność w celu ochrony przed możliwymi atakami.

Jednostka 42 Palo Alto przeanalizowała kampanię hakerską, a ich raport, opublikowany 19 lipca, ujawnił wykorzystanie przez złośliwe oprogramowanie CVE-2022-0543 do przejmowania aplikacji Redis i asymilacji ich w botnecie. Ten botnet składa się z kolekcji zainfekowanych komputerów znajdujących się pod kontrolą hakera. Podczas gdy ta sama luka była wcześniej wykorzystywana do asymilacji urządzeń z botnetem Muhstik w 2022 r. , najnowsze złośliwe oprogramowanie, P2PInfect, wydaje się być powiązane z odrębną wrogą siecią i nie jest powiązane z Muhstik, zgodnie z ustaleniami jednostki 42.
Raport jest zgodny z większością ustaleń Unit 42, ujawniając, że złośliwe oprogramowanie jest zakodowane w języku programowania Rust i próbuje zainfekować inne hosty po podłączeniu do botnetu.

Odkryto jednak dwie znaczące różnice. Po pierwsze, próbka złośliwego oprogramowania przeanalizowana przez ich badaczy nie wykorzystywała luki CVE-2022-0543 jako początkowego punktu dostępu. Po drugie, P2Pinfect atakował zarówno instancje Windows, jak i Linux Redis. Zauważyli, że użycie języka programowania Rust umożliwiło złośliwemu oprogramowaniu działanie zarówno na platformach Windows, jak i Linux, jednocześnie utrudniając analitykom analizę kodu. Cel i tożsamość osób stojących za złośliwym oprogramowaniem pozostają niejasne. Chociaż zainfekowane systemy pobierają „plik górnika”, nie wydaje się, aby wykonywał on zadania związane z wydobywaniem kryptowalut. Ten „kopacz” może potencjalnie służyć jako symbol zastępczy dla przyszłej dystrybucji wydobywania kryptowalut przez aktora zagrażającego. Podobnie Jednostka 42 zaobserwowała przypadki słowa „górnik” w groźnym zestawie narzędzi P2PInfect, ale nie znalazła rozstrzygających dowodów operacji wydobywania kryptowalut.

Złośliwe oprogramowanie ma dwojaki cel. Po pierwsze, pozwala hakerom chronić serwer Redis przed innymi cyberprzestępcami próbującymi go złamać, zapewniając jednocześnie legalne działanie serwera, unikając w ten sposób wykrycia przez jego właścicieli. Po infekcji zaatakowany serwer staje się składnikiem botnetu peer-to-peer. Ta konfiguracja umożliwia bezproblemową komunikację między wszystkimi węzłami botnetu bez konieczności posiadania scentralizowanego serwera Ccommand-and-Control (C2). Badacze sugerują, że polecenia są wdrażane poprzez przesyłanie podpisanych wiadomości przez sieć. Złośliwe oprogramowanie atakuje dodatkowe hosty w celu rozprzestrzeniania infekcji poprzez gromadzenie listy użytkowników, adresów IP i kluczy dostępu do protokołu komunikacji sieciowej SSH. Gdy nowy host uzyska dostęp, złośliwe oprogramowanie replikuje się tak, jakby początkowo zainfekowało zaatakowany serwer. Wiąże się to z pobieraniem własnej kopii z wbudowanego serwera HTTP i uruchamianiem jej z listą węzłów jako argumentem, rozszerzając w ten sposób zasięg na inne podatne systemy.

Złośliwe oprogramowanie typu botnet z cechami podobnymi do robaków atakuje popularne narzędzie do przechowywania danych Redis zrzutów ekranu