Zlonamerna programska oprema botneta z lastnostmi, podobnimi črvom, cilja na priljubljeno orodje za shranjevanje Redis

Neidentificirana skupina hekerjev je izvedla napad z uporabo edinstvene in omembe vredne vrste zlonamerne programske opreme, ki cilja na javno dostopne uvedbe Redisa. Redis je priljubljena izbira velikih podjetij, kot so Amazon, Hulu in Tinder, za shranjevanje podatkov. Kot so poudarili raziskovalci, je najbolj presenetljiva značilnost zlonamerne programske opreme njeno vedenje, podobno črvu, ki ji omogoča samoširjenje ali razmnoževanje v sistemih brez človeškega posredovanja, potem ko pridobi dostop do omrežja.

Varnostni raziskovalci so nedavno naleteli na zaskrbljujočo vrsto zlonamerne programske opreme, imenovano " P2Pinfect ". Njihovo pozornost je pritegnila njegova izjemna zmožnost samostojnega širjenja in okužbe drugih ranljivih uvedb Redisa. To vedenje samoširjenja vzbuja precejšnje pomisleke, saj lahko zlonamerni programski opremi omogoči, da hitro razširi svoj doseg in vpliva. Kljub obsežni preiskavi raziskovalci še niso identificirali posebnih tarč te zlonamerne programske opreme, podobne botnetom, zaradi česar je namen njene uvedbe zavit v skrivnost. Morebitne posledice tako napredne in avtonomne grožnje so v skupnosti za kibernetsko varnost sprožile opozorila, kar zahteva nadaljnje analize in budnost za zaščito pred morebitnimi napadi.

Enota 42 iz Palo Alta je analizirala hekersko kampanjo in njihovo poročilo, objavljeno 19. julija, je razkrilo, da zlonamerna programska oprema uporablja CVE-2022-0543 za prevzemanje aplikacij Redis in njihovo asimilacijo v botnet. Ta botnet obsega zbirko okuženih računalnikov pod nadzorom hekerjev. Medtem ko je bila ista ranljivost predmet prejšnjega izkoriščanja za asimilacijo naprav v botnet Muhstik leta 2022 , se zdi, da je najnovejša zlonamerna programska oprema, P2PInfect, povezana z ločenim zlonamernim omrežjem in ni povezana z Muhstikom, glede na ugotovitve enote 42.
Poročilo se ujema z večino ugotovitev enote 42 in razkriva, da je zlonamerna programska oprema kodirana v programskem jeziku Rust in poskuša okužiti druge gostitelje, ko so povezani z botnetom.

Vendar sta bili odkriti dve opazni razliki. Prvič, vzorec zlonamerne programske opreme, ki so ga analizirali njihovi raziskovalci, ni izkoristil CVE-2022-0543 kot začetne dostopne točke. Drugič, P2Pinfect je ciljal na instance Windows in Linux Redis. Opozorili so, da je uporaba programskega jezika Rust omogočila delovanje zlonamerne programske opreme na platformah Windows in Linux, medtem ko je analiza kode za analitike predstavljala izziv. Namen in identiteta tistih, ki stojijo za zlonamerno programsko opremo, ostajata nejasna. Čeprav ogroženi sistemi povlečejo "datoteko rudarja", se zdi, da ne opravlja nalog kripto rudarjenja. Ta "rudar" bi potencialno lahko služil kot ograda za prihodnjo distribucijo kripto rudarjenja s strani akterja grožnje. Podobno je enota 42 opazila primere besede "rudar" v grozečem kompletu orodij P2PInfect, vendar ni našla prepričljivih dokazov o operacijah kripto rudarjenja.

Zlonamerna programska oprema ima dvojen namen. Prvič, omogoča hekerjem, da zaščitijo strežnik Redis pred drugimi akterji groženj, ki ga poskušajo ogroziti, hkrati pa zagotavlja, da strežnik še naprej deluje zakonito, s čimer se izogne odkritju njegovih lastnikov. Po okužbi ogroženi strežnik postane sestavni del botneta peer-to-peer. Ta konfiguracija omogoča brezhibno komunikacijo med vsemi vozlišči botneta, ne da bi potrebovali centraliziran strežnik Ccommand-and-Control (C2). Raziskovalci predlagajo, da se ukazi uvedejo s prenosom podpisanih sporočil po omrežju. Zlonamerna programska oprema cilja na dodatne gostitelje za širjenje okužbe z zbiranjem seznama uporabnikov, naslovov IP in dostopnih ključev za omrežni komunikacijski protokol SSH. Ko nov gostitelj pridobi dostop, se zlonamerna programska oprema podvoji, kot da je prvotno okužila ogroženi strežnik. To vključuje pridobivanje kopije samega sebe iz vgrajenega strežnika HTTP in njeno izvedbo s seznamom vozlišč kot argumentom, s čimer razširi svoj doseg na druge ranljive sisteme.

Zlonamerna programska oprema botneta z lastnostmi, podobnimi črvom, cilja na priljubljeno orodje za shranjevanje Redis posnetkov zaslona