Malvér botnetu s vlastnosťami podobnými červom sa zameriava na populárny nástroj Redis Storage Tool

Neidentifikovaná skupina hackerov spustila útok pomocou jedinečného a pozoruhodného kmeňa malvéru zameraného na verejne dostupné nasadenia Redis. Redis je populárnou voľbou veľkých spoločností ako Amazon, Hulu a Tinder na ukladanie údajov. Najvýraznejšou črtou malvéru je jeho správanie podobné červom, ktoré mu umožňuje po získaní prístupu k sieti samo sa šíriť alebo replikovať naprieč systémami bez ľudského zásahu, ako zdôraznili výskumníci.

Výskumníci v oblasti bezpečnosti nedávno narazili na znepokojivý kmeň malvéru s názvom „ P2Pinfect “. Pozornosť upútala jeho pozoruhodná schopnosť autonómne šíriť a infikovať ďalšie zraniteľné nasadenia Redis. Toto samošíriace sa správanie vyvoláva značné obavy, pretože môže umožniť malvéru rýchlo rozšíriť svoj dosah a vplyv. Napriek rozsiahlemu vyšetrovaniu výskumníci ešte musia identifikovať konkrétne ciele tohto malvéru podobného botnetu, takže účel jeho nasadenia zostáva zahalený tajomstvom. Potenciálne dôsledky takejto pokročilej a autonómnej hrozby vyvolali varovné signály v komunite kybernetickej bezpečnosti, čo si vyžaduje ďalšiu analýzu a ostražitosť na ochranu pred možnými útokmi.

Jednotka 42 spoločnosti Palo Alto analyzovala hackerskú kampaň a ich správa vydaná 19. júla odhalila, že malvér využíva CVE-2022-0543 na ovládnutie aplikácií Redis a ich asimiláciu do botnetu. Tento botnet obsahuje kolekciu infikovaných počítačov pod kontrolou hackera. Zatiaľ čo rovnaká zraniteľnosť bola predmetom predchádzajúceho zneužitia na asimiláciu zariadení do botnetu Muhstik v roku 2022 , podľa zistení Unit 42 sa zdá, že najnovší malvér P2PInfect je spojený s odlišnou škodlivou sieťou a nie je spojený s Muhstikom.
Správa je v súlade s väčšinou zistení Unit 42 a odhaľuje, že malvér je kódovaný v programovacom jazyku Rust a pokúša sa infikovať iných hostiteľov, keď sa pripojí k botnetu.

Boli však objavené dva pozoruhodné rozdiely. Po prvé, vzorka malvéru analyzovaná ich výskumníkmi nevyužívala CVE-2022-0543 ako počiatočný prístupový bod. Po druhé, P2Pinfect sa zameral na inštancie Windows aj Linux Redis. Poznamenali, že používanie programovacieho jazyka Rust umožnilo malvéru fungovať na platformách Windows aj Linux, pričom pre analytikov bolo náročné analyzovať kód. Účel a identita osôb, ktoré stoja za malvérom, zostávajú nejasné. Hoci kompromitované systémy stiahnu „banícky súbor“, nezdá sa, že by vykonával úlohy ťažby kryptomien. Tento „baník“ by mohol potenciálne slúžiť ako zástupný symbol pre budúcu distribúciu kryptomeny zo strany aktéra hrozby. Podobne jednotka 42 pozorovala prípady slova „baník“ v hrozivej súprave nástrojov P2PInfect, ale nenašla presvedčivé dôkazy o operáciách ťažby kryptomien.

Malvér má dvojaký účel. Po prvé, umožňuje hackerom chrániť server Redis pred inými hrozbami, ktoré sa ho pokúšajú kompromitovať, a zároveň zabezpečiť, aby server naďalej fungoval legitímne, čím sa zabráni odhaleniu jeho vlastníkmi. Po infekcii sa napadnutý server stane súčasťou botnetu typu peer-to-peer. Táto konfigurácia umožňuje bezproblémovú komunikáciu medzi všetkými uzlami botnetu bez potreby centralizovaného servera riadenia a riadenia (C2). Výskumníci naznačujú, že príkazy sa zavádzajú prenášaním podpísaných správ cez sieť. Malvér sa zameriava na ďalších hostiteľov na šírenie infekcie zhromažďovaním zoznamu používateľov, IP adries a prístupových kľúčov pre sieťový komunikačný protokol SSH. Keď nový hostiteľ získa prístup, malvér sa replikuje, akoby pôvodne infikoval napadnutý server. To zahŕňa načítanie svojej kópie zo vstavaného servera HTTP a jej spustenie so zoznamom uzlov ako argumentom, čím sa rozširuje jeho dosah na ďalšie zraniteľné systémy.

Malvér botnetu s vlastnosťami podobnými červom sa zameriava na populárny nástroj Redis Storage Tool snímok obrazovky