P2Pinfect Malware

Actorii amenințărilor efectuează atacuri asupra instanțelor vulnerabile ale SSH și Redis, un magazin de date open-source. Acești actori fraudulenți folosesc un vierme cu auto-replicare peer-to-peer cunoscut sub numele de P2Pinfect, care are versiuni concepute atât pentru sistemele de operare Windows, cât și pentru Linux.

Dezvoltat în limbajul de programare Rust, programul malware P2Pinfect utilizează cel puțin două metode pentru a obține accesul inițial la sistemele țintă. Prima metodă exploatează o vulnerabilitate critică care a fost dezvăluită și corectată în 2022. A doua metodă profită de o caracteristică din cadrul Redis care permite replicarea bazei de date principale pentru o disponibilitate ridicată îmbunătățită și pentru a contracara scenariile de failover.

P2Pinfect Malware utilizează diferiți vectori de infecție

Inițial, P2PInfect a valorificat o vulnerabilitate critică identificată ca CVE-2022-0543, care avea un scor maxim de severitate de 10 din 10. Această defecțiune de securitate a afectat în mod special sistemele Debian și se referea la o vulnerabilitate de evadare sandbox LUA rezultată dintr-o problemă de ambalare. Exploatarea acestei vulnerabilități a oferit capabilități de execuție a codului de la distanță, reprezentând o amenințare semnificativă pentru sistemele afectate.

Odată ce o instanță Redis vulnerabilă este compromisă folosind o încărcare utilă inițială, P2PInfect continuă să descarce scripturi noi și binare rău intenționate adaptate pentru sistemul de operare specific. În plus, serverul infectat este înscris în lista de sisteme compromise a malware-ului. Ulterior, malware-ul integrează serverul infectat în rețeaua sa peer-to-peer, facilitând diseminarea încărcăturilor utile rău intenționate către viitoarele servere Redis compromise.

Cercetătorii care investighează P2PInfect au descoperit, de asemenea, un eșantion care a demonstrat compatibilitatea între platforme, indicând faptul că malware-ul a fost conceput pentru a viza atât mediile Windows, cât și Linux. Acest eșantion specific conținea fișiere binare Portable Executable (PE) și ELF, permițându-i să funcționeze fără probleme pe ambele sisteme de operare. Interesant este că această variantă a folosit o metodă diferită de acces inițial, utilizând caracteristica de replicare Redis, care permite generarea de replici exacte ale instanței Redis principale/lider.

P2Pinfect Malware se răspândește și adaugă sistemele compromise la o rețea bot

Sarcina utilă principală a malware-ului este un binar ELF, scris inteligent într-o combinație de limbaje de programare C și Rust. La execuție, declanșează componenta Rust a încărcăturii utile să preia controlul.

Odată activat, binarul continuă să facă modificări critice în configurația SSH pe gazda vizată. Modifică configurația serverului OpenSSH pentru a semăna cu o stare aproape implicită, acordând atacatorului acces la server prin protocolul secure shell (SSH) și permițând autentificarea cu parolă. Apoi, actorul amenințării repornește serviciul SSH și adaugă o cheie SSH la lista de chei autorizate pentru utilizatorul curent, asigurând accesul nestingherit la sistemul compromis.

În faza ulterioară, atacatorul implementează un script bash pentru a manipula numele binarelor wget și curl. Scriptul verifică și prezența unor utilitare specifice și le instalează dacă nu sunt deja disponibile. Utilizarea unui utilitar firewall pare a fi o măsură folosită de malware pentru a proteja serverul Redis vulnerabil de alți potențiali atacatori. Malware-ul stabilește persistența pe gazda compromisă, asigurând funcționarea continuă a acesteia.

Ulterior, serverul infectat este echipat cu cel puțin un binar capabil să scaneze prin directorul /proc și să acceseze statistica pentru fiecare proces din acesta. În plus, binarul poate monitoriza în mod activ directorul /proc pentru orice modificări.

În plus, binarul are capacitatea de a actualiza binarul primar de malware și de a-l executa dacă semnătura curentă nu se potrivește cu cea preluată de la botnet.

Tratând fiecare server Redis compromis ca pe un nod, P2PInfect transformă rețeaua într-o rețea botnet peer-to-peer. Acest botnet funcționează fără a fi nevoie de un server centralizat de comandă și control (C2), oferindu-i capacitatea de a primi instrucțiuni în mod autonom.