Botnet Malware med maskliknande egenskaper tar sikte på populära Redis Storage Tool

En oidentifierad hackergrupp har inlett en attack med en unik och anmärkningsvärd stam av skadlig programvara som riktar sig till allmänt tillgängliga Redis-distributioner. Redis är det populära valet av stora företag som Amazon, Hulu och Tinder för datalagring. Skadlig programvaras mest slående egenskap är dess maskliknande beteende, vilket gör att den kan sprida sig själv eller replikera över system utan mänsklig inblandning efter att ha fått tillgång till ett nätverk, vilket framhållits av forskare.

Säkerhetsforskare har nyligen stött på en oroande stam av skadlig programvara kallad " P2Pinfect ." Dess anmärkningsvärda förmåga att självständigt sprida och infektera andra sårbara Redis-distributioner fångade deras uppmärksamhet. Detta självspridningsbeteende väcker betydande oro eftersom det kan göra det möjligt för skadlig programvara att utöka sin räckvidd och påverkan snabbt. Trots sin omfattande undersökning har forskarna ännu inte identifierat de specifika målen för denna botnätliknande skadlig programvara, vilket gör att syftet bakom dess utplacering är höljt i mystik. De potentiella följderna av ett sådant avancerat och autonomt hot har höjt röda flaggor i cybersäkerhetsgemenskapen, vilket motiverar ytterligare analys och vaksamhet för att skydda mot eventuella attacker.

Palo Altos enhet 42 analyserade hackningskampanjen och deras rapport, som släpptes den 19 juli, avslöjade skadlig programvaras användning av CVE-2022-0543 för att styra Redis-applikationer och assimilera dem i ett botnät. Detta botnät består av en samling infekterade datorer under hackarens kontroll. Medan samma sårbarhet var föremål för tidigare utnyttjande för att assimilera enheter i Muhstik-botnätet 2022, verkar den senaste skadliga programvaran, P2PInfect, vara associerad med ett distinkt illvilligt nätverk och är inte kopplat till Muhstik, enligt Unit 42:s resultat.
Rapporten överensstämmer med mycket av Unit 42:s resultat, och avslöjar att skadlig programvara är kodad i Rust-programmeringsspråket och försöker infektera andra värdar när de väl är anslutna till botnätet.

Det upptäcktes dock två anmärkningsvärda distinktioner. För det första utnyttjade inte provet av skadlig programvara som analyserades av deras forskare CVE-2022-0543 som den första åtkomstpunkten. För det andra riktade P2Pinfect in både Windows och Linux Redis-instanser. De noterade att användningen av programmeringsspråket Rust tillät skadlig programvara att fungera på både Windows- och Linux-plattformar samtidigt som det gjorde det utmanande för analytiker att analysera koden. Syftet och identiteten för dem som ligger bakom skadlig programvara är fortfarande oklart. Även om komprometterade system drar en "miner-fil", verkar den inte utföra kryptomining-uppgifter. Denna "gruvarbetare" skulle potentiellt kunna fungera som en platshållare för framtida distribution av kryptomining av hotaktören. På liknande sätt observerade enhet 42 instanser av ordet "miner" i P2PInfects hotfulla verktygslåda men hittade inga avgörande bevis för kryptomining.

Skadlig programvara har ett dubbelt syfte. För det första tillåter det hackare att skydda Redis-servern från andra hotaktörer som försöker äventyra den samtidigt som de säkerställer att servern fortsätter att fungera på ett legitimt sätt, och på så sätt undvika upptäckt av dess ägare. Vid infektion blir den komprometterade servern en beståndsdel av ett peer-to-peer-botnät. Denna konfiguration möjliggör sömlös kommunikation mellan alla botnätsnoder utan att behöva en centraliserad Ccommand-and-Control (C2)-server. Forskare föreslår att kommandon rullas ut genom att sända signerade meddelanden över nätverket. Skadlig programvara riktar sig till ytterligare värdar för att sprida infektionen genom att samla in en lista över användare, IP-adresser och åtkomstnycklar för SSH-nätverkskommunikationsprotokollet. När en ny värd har fått åtkomst replikerar den skadliga programvaran sig själv som om den ursprungligen infekterade den komprometterade servern. Det innebär att man hämtar en kopia av sig själv från den inbyggda HTTP-servern och exekverar den med en nodlista som argument, och utökar därmed dess räckvidd till andra sårbara system.

Botnet Malware med maskliknande egenskaper tar sikte på populära Redis Storage Tool skärmdumpar