Malware Botnet me tipare të ngjashme me krimbat synon mjetin popullor të ruajtjes Redis
Një grup i paidentifikuar hakerash ka nisur një sulm duke përdorur një lloj unik dhe të rëndësishëm të malware që synon vendosjet e Redis të aksesueshme nga publiku. Redis është zgjedhja popullore e kompanive të mëdha si Amazon, Hulu dhe Tinder për ruajtjen e të dhënave. Karakteristika më e habitshme e malware është sjellja e tij si krimba, duke e lejuar atë të vetëpërhapet ose të përsëritet nëpër sisteme pa ndërhyrjen njerëzore pasi të ketë akses në një rrjet, siç theksohet nga studiuesit.
Studiuesit e sigurisë së fundmi kanë hasur në një lloj malware shqetësues të quajtur " P2Pinfect ". Aftësia e tij e jashtëzakonshme për të përhapur dhe infektuar në mënyrë autonome dislokime të tjera të cenueshme të Redis tërhoqi vëmendjen e tyre. Kjo sjellje vetëpërhapëse ngre shqetësime të rëndësishme pasi mund t'i mundësojë malware të zgjerojë me shpejtësi shtrirjen dhe ndikimin e tij. Megjithë hetimin e tyre të gjerë, studiuesit ende nuk kanë identifikuar objektivat specifike të këtij malware të ngjashëm me botnet, duke e lënë qëllimin pas vendosjes së tij të mbuluar me mister. Pasojat e mundshme të një kërcënimi kaq të avancuar dhe autonom kanë ngritur flamuj të kuq në komunitetin e sigurisë kibernetike, duke garantuar analiza të mëtejshme dhe vigjilencë për t'u mbrojtur nga sulmet e mundshme.
Njësia 42 e Palo Alto analizoi fushatën e hakerimit dhe raporti i tyre, i publikuar më 19 korrik, zbuloi përdorimin e CVE-2022-0543 nga malware për të komanduar aplikacionet Redis dhe për t'i asimiluar ato në një botnet. Ky botnet përfshin një koleksion kompjuterësh të infektuar nën kontrollin e hakerit. Ndërsa e njëjta dobësi ishte subjekt i shfrytëzimit të mëparshëm për të asimiluar pajisjet në botnetin Muhstik në vitin 2022 , malware-i më i fundit, P2PInfect, duket se është i lidhur me një rrjet të veçantë keqdashës dhe nuk është i lidhur me Muhstik, sipas gjetjeve të Njësisë 42.
Raporti përputhet me shumicën e gjetjeve të Njësisë 42, duke zbuluar se malware është i koduar në gjuhën e programimit Rust dhe tenton të infektojë hostet e tjerë pasi të lidhen me botnet.
Megjithatë, u zbuluan dy dallime të dukshme. Së pari, kampioni i malware i analizuar nga studiuesit e tyre nuk shfrytëzoi CVE-2022-0543 si pikën fillestare të hyrjes. Së dyti, P2Pinfect synoi të dyja rastet e Windows dhe Linux Redis. Ata vunë në dukje se përdorimi i gjuhës së programimit Rust lejoi që malware të funksiononte si në platformat Windows ashtu edhe në Linux, ndërkohë që e bënte të vështirë për analistët të analizonin kodin. Qëllimi dhe identiteti i atyre që qëndrojnë pas malware mbeten të paqarta. Megjithëse sistemet e komprometuara tërheqin një "skedar miner", ai nuk duket se kryen detyra të kripto-minimit. Ky "miner" potencialisht mund të shërbejë si një mbajtës për shpërndarjen e ardhshme të kripto-minierave nga aktori i kërcënimit. Në mënyrë të ngjashme, Njësia 42 vëzhgoi raste të fjalës "miner" në paketën kërcënuese të mjeteve të P2PInfect, por nuk gjeti prova përfundimtare të operacioneve të kripto-minierave.
Malware ka një qëllim të dyfishtë. Së pari, ai i lejon hakerat të mbrojnë serverin Redis nga aktorë të tjerë kërcënimi që përpiqen ta komprometojnë atë duke siguruar që serveri të vazhdojë të funksionojë në mënyrë legjitime, duke shmangur kështu zbulimin nga pronarët e tij. Pas infektimit, serveri i komprometuar bëhet një përbërës i një botneti peer-to-peer. Ky konfigurim mundëson komunikim pa ndërprerje midis të gjitha nyjeve të botnet-it pa pasur nevojë për një server të centralizuar Ccommand-and-Control (C2). Studiuesit sugjerojnë që komandat të shpërndahen duke transmetuar mesazhe të nënshkruara nëpër rrjet. Malware synon hoste shtesë për të përhapur infeksionin duke mbledhur një listë të përdoruesve, adresat IP dhe çelësat e aksesit për protokollin e komunikimit të rrjetit SSH. Pasi një host i ri të ketë fituar akses, malware përsëritet sikur fillimisht të kishte infektuar serverin e komprometuar. Kjo përfshin marrjen e një kopjeje të vetvetes nga serveri i integruar HTTP dhe ekzekutimin e tij me një listë nyjesh si argument, duke zgjeruar kështu shtrirjen e tij në sisteme të tjera të cenueshme.
Malware Botnet me tipare të ngjashme me krimbat synon mjetin popullor të ruajtjes Redis pamje nga ekrani
