Programul malware pentru botnet cu trăsături asemănătoare viermilor vizează instrumentul popular de stocare Redis

Un grup de hackeri neidentificat a lansat un atac folosind o tulpină unică și remarcabilă de malware care vizează implementările Redis accesibile public. Redis este alegerea populară a marilor companii precum Amazon, Hulu și Tinder pentru stocarea datelor. Cea mai frapantă caracteristică a malware-ului este comportamentul său asemănător viermilor, permițându-i să se propagă singur sau să se reproducă peste sisteme fără intervenția umană după ce a obținut acces la o rețea, după cum au subliniat cercetătorii.

Cercetătorii de securitate au întâlnit recent o tulpină îngrijorătoare de malware numită „ P2Pinfect ”. Capacitatea sa remarcabilă de a răspândi și infecta în mod autonom alte implementări Redis vulnerabile le-a atras atenția. Acest comportament de autopropagare ridică îngrijorări semnificative, deoarece poate permite malware-ului să-și extindă raza de acțiune și să aibă un impact rapid. În ciuda investigației lor ample, cercetătorii nu au identificat încă țintele specifice ale acestui malware asemănător rețelelor botnet, lăsând scopul în spatele implementării sale învăluit în mister. Potențialele ramificații ale unei astfel de amenințări avansate și autonome au stârnit semnale roșii în comunitatea de securitate cibernetică, justificând o analiză suplimentară și vigilență pentru a proteja împotriva posibilelor atacuri.

Unitatea 42 a lui Palo Alto a analizat campania de hacking, iar raportul lor, lansat pe 19 iulie, a dezvăluit utilizarea malware-ului CVE-2022-0543 pentru a prelua aplicațiile Redis și a le asimila într-o rețea botnet. Acest botnet cuprinde o colecție de computere infectate aflate sub controlul hackerului. În timp ce aceeași vulnerabilitate a fost supusă exploatării anterioare pentru a asimila dispozitive în rețeaua botnet Muhstik în 2022 , cel mai recent malware, P2PInfect, pare să fie asociat cu o rețea răuvoitoare distinctă și nu este legat de Muhstik, conform constatărilor Unității 42.
Raportul se aliniază cu multe dintre constatările Unității 42, dezvăluind că malware-ul este codificat în limbajul de programare Rust și încearcă să infecteze alte gazde odată conectate la rețeaua bot.

Cu toate acestea, s-au descoperit două distincții notabile. În primul rând, eșantionul de malware analizat de cercetătorii lor nu a exploatat CVE-2022-0543 ca punct de acces inițial. În al doilea rând, P2Pinfect a vizat atât instanțele Windows, cât și Linux Redis. Ei au remarcat că utilizarea limbajului de programare Rust a permis ca malware-ul să funcționeze atât pe platformele Windows, cât și pe Linux, făcând în același timp dificil pentru analiști să analizeze codul. Scopul și identitatea celor din spatele malware-ului rămân neclare. Deși sistemele compromise extrag un „fișier miner”, acesta nu pare să efectueze sarcini de cripto-mining. Acest „miner” ar putea servi ca substituent pentru viitoarea distribuție de cripto-mining de către actorul amenințării. În mod similar, Unitatea 42 a observat cazuri ale cuvântului „miner” în setul de instrumente amenințător al P2PInfect, dar nu a găsit dovezi concludente ale operațiunilor de cripto-mining.

Malware-ul are un scop dublu. În primul rând, le permite hackerilor să protejeze serverul Redis de alți actori de amenințări care încearcă să-l compromită, asigurându-se în același timp că serverul continuă să funcționeze în mod legitim, evitând astfel detectarea de către proprietarii săi. La infectare, serverul compromis devine un element constitutiv al unei rețele botnet peer-to-peer. Această configurație permite comunicarea fără întreruperi între toate nodurile botnet fără a fi nevoie de un server Ccommand-and-Control (C2) centralizat. Cercetătorii sugerează că comenzile sunt difuzate prin transmiterea mesajelor semnate în rețea. Malware-ul vizează gazde suplimentare pentru a propaga infecția prin adunarea unei liste de utilizatori, adrese IP și chei de acces pentru protocolul de comunicare în rețea SSH. Odată ce o nouă gazdă a obținut acces, malware-ul se reproduce ca și cum ar fi infectat inițial serverul compromis. Aceasta implică preluarea unei copii a lui de pe serverul HTTP încorporat și executarea acesteia cu o listă de noduri ca argument, extinzându-și astfel raza la alte sisteme vulnerabile.

Programul malware pentru botnet cu trăsături asemănătoare viermilor vizează instrumentul popular de stocare Redis de capturi de ecran