มัลแวร์บอตเน็ตที่มีลักษณะเหมือนเวิร์มมุ่งเป้าไปที่เครื่องมือเก็บข้อมูล Redis ยอดนิยม

กลุ่มแฮ็กเกอร์ที่ไม่ปรากฏชื่อได้ทำการโจมตีโดยใช้มัลแวร์สายพันธุ์ที่ไม่เหมือนใครและโดดเด่นซึ่งกำหนดเป้าหมายไปที่การปรับใช้ Redis ที่สาธารณะเข้าถึงได้ Redis เป็นตัวเลือกยอดนิยมของบริษัทยักษ์ใหญ่อย่าง Amazon, Hulu และ Tinder สำหรับการจัดเก็บข้อมูล คุณลักษณะที่โดดเด่นที่สุดของมัลแวร์คือลักษณะการทำงานที่เหมือนเวิร์ม ทำให้สามารถแพร่พันธุ์ได้เองหรือทำซ้ำข้ามระบบโดยปราศจากการแทรกแซงของมนุษย์หลังจากเข้าถึงเครือข่ายตามที่นักวิจัยเน้นย้ำ

เมื่อเร็ว ๆ นี้ นักวิจัยด้านความปลอดภัยพบมัลแวร์สายพันธุ์ที่เกี่ยวข้องซึ่งมีชื่อว่า " P2Pinfect " ความสามารถที่โดดเด่นในการแพร่กระจายและแพร่เชื้อโดยอัตโนมัติในการปรับใช้ Redis ที่มีช่องโหว่อื่นๆ ดึงดูดความสนใจของพวกเขา พฤติกรรมการแพร่กระจายด้วยตนเองนี้สร้างความกังวลอย่างมากเนื่องจากสามารถช่วยให้มัลแวร์ขยายการเข้าถึงและส่งผลกระทบอย่างรวดเร็ว แม้จะมีการตรวจสอบอย่างละเอียด นักวิจัยก็ยังไม่สามารถระบุเป้าหมายเฉพาะของมัลแวร์ที่มีลักษณะคล้ายบ็อตเน็ตได้ โดยทิ้งจุดประสงค์เบื้องหลังการปรับใช้ที่ปกคลุมไปด้วยความลึกลับ การแตกสาขาที่เป็นไปได้ของภัยคุกคามขั้นสูงและเป็นอิสระดังกล่าวได้ทำให้เกิดธงแดงในชุมชนความปลอดภัยทางไซเบอร์ ทำให้ต้องมีการวิเคราะห์เพิ่มเติมและเฝ้าระวังเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น

หน่วยที่ 42 ของ Palo Alto วิเคราะห์แคมเปญการแฮ็ก และรายงานของพวกเขาที่เผยแพร่เมื่อวันที่ 19 กรกฎาคม เผยให้เห็นการใช้ CVE-2022-0543 ของมัลแวร์เพื่อควบคุมแอปพลิเคชัน Redis และรวมเข้ากับบ็อตเน็ต บ็อตเน็ตนี้ประกอบด้วยกลุ่มคอมพิวเตอร์ที่ติดไวรัสภายใต้การควบคุมของแฮ็กเกอร์ ในขณะที่ช่องโหว่เดียวกันนี้เคยถูกโจมตีก่อนหน้านี้เพื่อรวมอุปกรณ์เข้ากับ Muhstik botnet ในปี 2022 แต่มัลแวร์ล่าสุด P2PInfect ดูเหมือนจะเชื่อมโยงกับเครือข่ายที่เป็นอันตรายอย่างชัดเจนและไม่ได้เชื่อมโยงกับ Muhstik ตามการค้นพบของ Unit 42
รายงานนี้สอดคล้องกับการค้นพบส่วนใหญ่ของ Unit 42 ซึ่งเผยให้เห็นว่ามัลแวร์ถูกเข้ารหัสด้วยภาษาโปรแกรม Rust และพยายามทำให้โฮสต์อื่นติดเชื้อเมื่อเชื่อมต่อกับบ็อตเน็ต

อย่างไรก็ตาม มีการค้นพบความแตกต่างที่น่าสังเกตสองประการ ประการแรก ตัวอย่างมัลแวร์ที่วิเคราะห์โดยนักวิจัยของพวกเขาไม่ได้ใช้ CVE-2022-0543 เป็นจุดเชื่อมต่อเริ่มต้น ประการที่สอง P2Pinfect กำหนดเป้าหมายทั้งอินสแตนซ์ Windows และ Linux Redis พวกเขาตั้งข้อสังเกตว่าการใช้ภาษาโปรแกรม Rust ทำให้มัลแวร์สามารถทำงานได้ทั้งบนแพลตฟอร์ม Windows และ Linux ในขณะที่ทำให้นักวิเคราะห์วิเคราะห์โค้ดได้ยาก วัตถุประสงค์และตัวตนของผู้ที่อยู่เบื้องหลังมัลแวร์ยังไม่ชัดเจน แม้ว่าระบบที่ถูกบุกรุกจะดึง "ไฟล์ miner" แต่ดูเหมือนว่าจะไม่ทำงานการขุด crypto "คนขุดแร่" นี้อาจทำหน้าที่เป็นตัวยึดสำหรับการกระจายการขุด crypto ในอนาคตโดยผู้คุกคาม ในทำนองเดียวกัน หน่วยที่ 42 สังเกตกรณีของคำว่า "คนขุดแร่" ในชุดเครื่องมือคุกคามของ P2PInfect แต่ไม่พบหลักฐานที่แน่ชัดเกี่ยวกับการดำเนินการขุดคริปโต

มัลแวร์มีวัตถุประสงค์สองเท่า ประการแรก ช่วยให้แฮ็กเกอร์สามารถปกป้องเซิร์ฟเวอร์ Redis จากผู้คุกคามรายอื่นที่พยายามประนีประนอมได้ ในขณะเดียวกันก็ดูแลให้เซิร์ฟเวอร์ยังคงทำงานอย่างถูกต้องตามกฎหมาย ซึ่งจะช่วยหลีกเลี่ยงการตรวจจับโดยเจ้าของ เมื่อติดไวรัส เซิร์ฟเวอร์ที่ถูกบุกรุกจะกลายเป็นส่วนประกอบของบอตเน็ตแบบเพียร์ทูเพียร์ การกำหนดค่านี้ทำให้สามารถสื่อสารได้อย่างราบรื่นระหว่างโหนดบ็อตเน็ตทั้งหมด โดยไม่จำเป็นต้องใช้เซิร์ฟเวอร์ Ccommand-and-Control (C2) จากส่วนกลาง นักวิจัยแนะนำให้ออกคำสั่งโดยการส่งข้อความที่เซ็นชื่อผ่านเครือข่าย มัลแวร์กำหนดเป้าหมายโฮสต์เพิ่มเติมเพื่อเผยแพร่การติดไวรัสโดยรวบรวมรายชื่อผู้ใช้ ที่อยู่ IP และคีย์การเข้าถึงสำหรับโปรโตคอลการสื่อสารเครือข่าย SSH เมื่อโฮสต์ใหม่ได้รับสิทธิ์เข้าถึง มัลแวร์จะจำลองตัวเองเหมือนกับที่ตอนแรกติดไวรัสในเซิร์ฟเวอร์ที่ถูกบุกรุก ซึ่งเกี่ยวข้องกับการดึงสำเนาของตัวเองจากเซิร์ฟเวอร์ HTTP ในตัวและดำเนินการโดยใช้รายการโหนดเป็นอาร์กิวเมนต์ ซึ่งจะเป็นการขยายการเข้าถึงไปยังระบบที่มีช่องโหว่อื่นๆ

มัลแวร์บอตเน็ตที่มีลักษณะเหมือนเวิร์มมุ่งเป้าไปที่เครื่องมือเก็บข้อมูล Redis ยอดนิยม ภาพหน้าจอ