Малвер за ботнет са особинама сличним црвима циља на популарну алатку за складиштење Редис

Неидентификована хакерска група је покренула напад користећи јединствену и вредну пажње врсту малвера који циља јавно доступне Редис имплементације. Редис је популаран избор великих компанија као што су Амазон, Хулу и Тиндер за складиштење података. Најупечатљивија карактеристика злонамерног софтвера је његово понашање попут црва, омогућавајући му да се самостално шири или реплицира кроз системе без људске интервенције након што добије приступ мрежи, као што су истакли истраживачи.

Истраживачи безбедности су недавно наишли на забрињавајућу врсту малвера под називом „ П2Пинфецт “. Њихову пажњу је привукла његова изузетна способност да аутономно шири и инфицира друге рањиве Редис распоређивања. Овакво понашање самоширења изазива значајну забринутост јер може омогућити малверу да брзо прошири свој домет и утицај. Упркос њиховој опсежној истрази, истраживачи тек треба да идентификују специфичне мете овог малвера налик на ботнет, остављајући сврху његовог постављања обавијену мистеријом. Потенцијалне последице тако напредне и аутономне претње подигле су црвене заставице у заједници сајбер безбедности, што захтева даљу анализу и опрез ради заштите од могућих напада.

Јединица 42 Пало Алта анализирала је хакерску кампању, а њихов извештај, објављен 19. јула, открио је коришћење ЦВЕ-2022-0543 од стране малвера за преузимање Редис апликација и њихово асимилирање у ботнет. Овај ботнет обухвата колекцију заражених рачунара под контролом хакера. Иако је иста рањивост била предмет претходне експлоатације да би се уређаји асимилирали у Мухстик ботнет 2022. године , најновији малвер, П2ПИнфецт, изгледа да је повезан са посебном злонамерном мрежом и није повезан са Мухстиком, према налазима Јединице 42.
Извештај је у складу са великим делом налаза Јединице 42, откривајући да је злонамерни софтвер кодиран у програмском језику Руст и да покушава да зарази друге хостове када се једном повежу на ботнет.

Међутим, откривене су две значајне разлике. Прво, узорак злонамерног софтвера који су анализирали њихови истраживачи није искористио ЦВЕ-2022-0543 као почетну приступну тачку. Друго, П2Пинфецт је циљао и Виндовс и Линук Редис инстанце. Они су приметили да је коришћење програмског језика Руст омогућило малверу да функционише и на Виндовс и на Линук платформама, док аналитичарима представља изазов да анализирају код. Сврха и идентитет оних који стоје иза малвера остају нејасни. Иако компромитовани системи повлаче „датотеку рудара“, чини се да не обавља задатке крипто рударења. Овај „рудар“ би потенцијално могао да послужи као чувар места за будућу дистрибуцију крипто рударења од стране претње. Слично, Јединица 42 је приметила случајеве речи „рудар“ у П2ПИнфецт-овом комплету претећих алатки, али није нашла убедљиве доказе о операцијама крипто-рудања.

Злонамерни софтвер има двоструку сврху. Прво, омогућава хакерима да заштите Редис сервер од других актера претњи који покушавају да га компромитују, истовремено осигуравајући да сервер настави да ради легитимно, чиме се избегава откривање од стране његових власника. Након инфекције, компромитовани сервер постаје саставни део пеер-то-пеер ботнета. Ова конфигурација омогућава беспрекорну комуникацију између свих ботнет чворова без потребе за централизованим Ццомманд-анд-Цонтрол (Ц2) сервером. Истраживачи сугеришу да се команде развијају преношењем потписаних порука широм мреже. Малвер циља на додатне хостове да пропагира инфекцију прикупљањем листе корисника, ИП адреса и приступних кључева за ССХ мрежни комуникациони протокол. Када нови хост добије приступ, злонамерни софтвер се реплицира као да је првобитно заразио компромитовани сервер. То укључује преузимање копије самог себе са уграђеног ХТТП сервера и његово извршавање са листом чворова као аргументом, чиме се проширује његов домет на друге рањиве системе.

Малвер за ботнет са особинама сличним црвима циља на популарну алатку за складиштење Редис снимака екрана