Um Malware Botnet com Características Semelhantes a um Worm Visa a Popular Ferramenta de Armazenamento Redis
Um grupo de hackers não identificado lançou um ataque usando uma variedade única e notável de malware direcionado a implantações Redis acessíveis ao público. Redis é a escolha popular de grandes empresas como Amazon, Hulu e Tinder para armazenamento de dados. A característica mais marcante do malware é seu comportamento semelhante a um worm, permitindo que ele se propague ou se replique em sistemas sem intervenção humana após obter acesso a uma rede, conforme destacado pelos pesquisadores.
Pesquisadores de segurança encontraram recentemente um tipo preocupante de malware apelidado de " P2Pinfect'. Sua notável capacidade de se espalhar e infectar autonomamente outras implantações vulneráveis do Redis chamou a atenção deles. Esse comportamento de autopropagação levanta preocupações significativas, pois pode permitir que o malware expanda seu alcance e impacto rapidamente. Apesar de sua extensa investigação, os pesquisadores ainda não identificaram os alvos específicos desse malware tipo botnet, deixando o propósito por trás de sua implantação envolto em mistério. As possíveis ramificações de uma ameaça tão avançada e autônoma levantaram bandeiras vermelhas na comunidade de segurança cibernética, garantindo uma análise mais aprofundada e vigilância para proteção contra possíveis ataques.
A Unidade 42 de Palo Alto analisou a campanha de hackers e seu relatório, divulgado em 19 de julho, revelou a utilização do CVE-2022-0543 pelo malware para comandar aplicativos Redis e assimilá-los em uma botnet. Esta botnet compreende uma coleção de computadores infectados sob o controle do hacker. Embora a mesma vulnerabilidade tenha sido explorada anteriormente para assimilar dispositivos na rede de bots Muhstik em 2022, o malware mais recente, P2PInfect, parece estar associado a uma rede malévola distinta e não está vinculado a Muhstik, de acordo com as descobertas da Unidade 42.
O relatório se alinha com muitas das descobertas da Unidade 42, revelando que o malware é codificado na linguagem de programação Rust e tenta infectar outros hosts uma vez conectado à botnet.
No entanto, foram descobertas duas distinções notáveis. Em primeiro lugar, a amostra de malware analisada por seus pesquisadores não explorou o CVE-2022-0543 como ponto de acesso inicial. Em segundo lugar, o P2Pinfect visou instâncias Windows e Linux Redis. Eles observaram que o uso da linguagem de programação Rust permitia que o malware funcionasse nas plataformas Windows e Linux, tornando difícil para os analistas analisar o código. O propósito e a identidade dos responsáveis pelo malware permanecem obscuros. Embora os sistemas comprometidos extraiam um "arquivo minerador", ele não parece executar tarefas de mineração criptográfica. Esse "minerador" poderia servir como um substituto para a futura distribuição de mineração de criptomoedas pelo agente da ameaça. Da mesma forma, a Unidade 42 observou instâncias da palavra "mineiro" no kit de ferramentas ameaçador do P2PInfect, mas não encontrou evidências conclusivas de operações de mineração de criptografia.
O malware tem um propósito duplo. Em primeiro lugar, permite que os hackers protejam o servidor Redis de outros agentes de ameaças que tentam comprometê-lo, garantindo que o servidor continue a operar legitimamente, evitando assim a detecção por seus proprietários. Após a infecção, o servidor comprometido torna-se um constituinte de uma botnet ponto a ponto. Essa configuração permite uma comunicação perfeita entre todos os nós de botnet sem a necessidade de um servidor Ccommand-and-Control (C2) centralizado. Os pesquisadores sugerem que os comandos são implantados transmitindo mensagens assinadas pela rede. O malware tem como alvo hosts adicionais para propagar a infecção reunindo uma lista de usuários, endereços IP e chaves de acesso para o protocolo de comunicação de rede SSH. Depois que um novo host obtém acesso, o malware se replica como inicialmente infectou o servidor comprometido. Isso envolve buscar uma cópia de si mesmo do servidor HTTP embutido e executá-lo com uma lista de nós como argumento, expandindo assim seu alcance para outros sistemas vulneráveis.
Um Malware Botnet com Características Semelhantes a um Worm Visa a Popular Ferramenta de Armazenamento Redis capturas de tela
