Вредоносная программа-ботнет с червообразными чертами нацелилась на популярный инструмент хранения Redis

Неизвестная группа хакеров запустила атаку с использованием уникального и заслуживающего внимания штамма вредоносного ПО, нацеленного на общедоступные развертывания Redis. Redis — популярный выбор крупных компаний, таких как Amazon, Hulu и Tinder, для хранения данных. Исследователи подчеркивают, что наиболее яркой особенностью вредоносного ПО является его червеобразное поведение, позволяющее ему самораспространяться или размножаться в системах без вмешательства человека после получения доступа к сети.

Исследователи в области безопасности недавно столкнулись с опасной разновидностью вредоносного ПО, получившего название « P2Pinfect ». Его замечательная способность автономно распространять и заражать другие уязвимые развертывания Redis привлекла их внимание. Такое самораспространение вызывает серьезные опасения, поскольку может позволить вредоносным программам быстро расширить свое влияние и влияние. Несмотря на их обширное расследование, исследователи еще не определили конкретные цели этого вредоносного ПО, похожего на ботнет, поэтому цель его развертывания окутана тайной. Потенциальные последствия такой продвинутой и автономной угрозы вызвали тревогу в сообществе кибербезопасности, что требует дальнейшего анализа и бдительности для защиты от возможных атак.

Подразделение 42 Пало-Альто проанализировало хакерскую кампанию, и их отчет, опубликованный 19 июля, показал, что вредоносное ПО использует CVE-2022-0543 для захвата приложений Redis и включения их в ботнет. Этот ботнет представляет собой набор зараженных компьютеров, находящихся под контролем хакера. Хотя эта же уязвимость ранее использовалась для включения устройств в ботнет Muhstik в 2022 году , последнее вредоносное ПО, P2PInfect, по-видимому, связано с отдельной злонамеренной сетью и не связано с Muhstik, согласно выводам Unit 42.
Отчет согласуется с большинством выводов Unit 42, показывая, что вредоносное ПО закодировано на языке программирования Rust и пытается заразить другие хосты после подключения к ботнету.

Однако было обнаружено два заметных отличия. Во-первых, образец вредоносного ПО, проанализированный их исследователями, не использовал CVE-2022-0543 в качестве начальной точки доступа. Во-вторых, P2Pinfect был нацелен как на Windows, так и на Linux Redis. Они отметили, что использование языка программирования Rust позволяет вредоносному ПО функционировать как на платформах Windows, так и на Linux, в то же время затрудняя анализ кода аналитиками. Цель и личность тех, кто стоит за вредоносным ПО, остаются неясными. Хотя скомпрометированные системы извлекают «файл майнера», похоже, он не выполняет задачи крипто-майнинга. Этот «майнер» потенциально может служить заполнителем для будущего распределения крипто-майнинга злоумышленником. Точно так же подразделение 42 наблюдало случаи использования слова «майнер» в угрожающем инструментарии P2PInfect, но не нашло убедительных доказательств операций по добыче криптовалюты.

Вредоносное ПО преследует двоякую цель. Во-первых, он позволяет хакерам защитить сервер Redis от других злоумышленников, пытающихся его скомпрометировать, обеспечивая при этом законную работу сервера, что позволяет избежать обнаружения его владельцами. При заражении скомпрометированный сервер становится частью одноранговой ботнета. Эта конфигурация обеспечивает бесперебойную связь между всеми узлами ботнета без необходимости использования централизованного сервера управления и контроля (C2). Исследователи предполагают, что команды развертываются путем передачи подписанных сообщений по сети. Вредоносная программа нацелена на дополнительные хосты для распространения инфекции, собирая список пользователей, IP-адресов и ключей доступа для сетевого протокола связи SSH. Как только новый хост получает доступ, вредоносная программа копирует себя так же, как первоначально заразила скомпрометированный сервер. Это включает получение своей копии со встроенного HTTP-сервера и выполнение ее со списком узлов в качестве аргумента, тем самым расширяя ее доступ к другим уязвимым системам.

Вредоносная программа-ботнет с червообразными чертами нацелилась на популярный инструмент хранения Redis Скриншотов