Вредоносное ПО P2Pinfect

Злоумышленники проводят атаки на уязвимые экземпляры SSH и Redis, хранилища данных с открытым исходным кодом. Эти мошенники используют однорангового самовоспроизводящегося червя, известного как P2Pinfect, версии которого предназначены как для операционных систем Windows, так и для Linux.

Вредоносное ПО P2Pinfect, разработанное на языке программирования Rust, использует как минимум два метода для получения начального доступа к целевым системам. Первый метод использует критическую уязвимость, которая была обнаружена и исправлена в 2022 году. Второй метод использует функцию Redis, которая позволяет реплицировать основную базу данных для повышения высокой доступности и противодействия сценариям аварийного переключения.

Вредоносное ПО P2Pinfect использует разные векторы заражения

Первоначально P2PInfect использовал критическую уязвимость, идентифицированную как CVE-2022-0543, с максимальной оценкой серьезности 10 из 10. Эта уязвимость безопасности особенно затрагивала системы Debian и относилась к уязвимости выхода из песочницы LUA, возникшей из-за проблемы с упаковкой. Эксплуатация этой уязвимости предоставила возможность удаленного выполнения кода, создав серьезную угрозу для уязвимых систем.

Как только уязвимый экземпляр Redis скомпрометирован с использованием начальной полезной нагрузки, P2PInfect приступает к загрузке новых сценариев и вредоносных двоичных файлов, адаптированных для конкретной операционной системы. Кроме того, зараженный сервер занесен в список скомпрометированных систем зловреда. Впоследствии вредоносное ПО интегрирует зараженный сервер в свою одноранговую сеть, способствуя распространению вредоносных полезных нагрузок на будущие скомпрометированные серверы Redis.

Исследователи, изучающие P2PInfect, также обнаружили образец, продемонстрировавший кроссплатформенную совместимость, что указывает на то, что вредоносное ПО было разработано для работы как в средах Windows, так и в Linux. Этот конкретный образец содержал двоичные файлы Portable Executable (PE) и ELF, что позволяло ему без проблем работать в обеих операционных системах. Интересно, что в этом варианте использовался другой метод начального доступа, использующий функцию репликации Redis, которая позволяет создавать точные реплики основного/ведущего экземпляра Redis.

Вредоносное ПО P2Pinfect распространяется и добавляет скомпрометированные системы в ботнет

Основной полезной нагрузкой вредоносного ПО является двоичный файл ELF, искусно написанный на комбинации языков программирования C и Rust. После выполнения он запускает компонент полезной нагрузки Rust.

После активации двоичный файл вносит критические изменения в конфигурацию SSH на целевом хосте. Он изменяет конфигурацию сервера OpenSSH, чтобы она напоминала состояние, близкое к состоянию по умолчанию, предоставляя злоумышленнику доступ к серверу через протокол безопасной оболочки (SSH) и разрешая аутентификацию по паролю. Далее злоумышленник перезапускает службу SSH и добавляет ключ SSH в список авторизованных ключей текущего пользователя, обеспечивая беспрепятственный доступ к скомпрометированной системе.

На следующем этапе злоумышленник развертывает сценарий bash для управления именами двоичных файлов wget и curl. Сценарий также проверяет наличие определенных утилит и устанавливает их, если они еще не доступны. Использование утилиты брандмауэра, по-видимому, является мерой, используемой вредоносным ПО для защиты уязвимого сервера Redis от других потенциальных злоумышленников. Вредоносное ПО закрепляется на скомпрометированном узле, обеспечивая его непрерывную работу.

Впоследствии зараженный сервер оснащен как минимум одним двоичным файлом, способным сканировать каталог /proc и получать доступ к статистике каждого процесса в нем. Кроме того, двоичный файл может активно отслеживать любые изменения в каталоге /proc.

Кроме того, бинарный файл может обновить основной бинарный файл вредоносного ПО и запустить его, если текущая сигнатура не совпадает с сигнатурой, полученной из ботнета.

Рассматривая каждый скомпрометированный сервер Redis как узел, P2PInfect превращает сеть в одноранговую ботнет. Этот ботнет работает без централизованного сервера управления и контроля (C2), что дает ему возможность получать инструкции автономно.