Solucan Benzeri Niteliklere Sahip Kötü Amaçlı Botnet Yazılımı, Popüler Redis Depolama Aracını Hedefliyor

Tanımlanamayan bir bilgisayar korsanı grubu, herkesin erişebileceği Redis dağıtımlarını hedefleyen benzersiz ve dikkate değer bir kötü amaçlı yazılım türü kullanarak bir saldırı başlattı. Redis, veri depolama için Amazon, Hulu ve Tinder gibi büyük şirketlerin popüler tercihidir. Kötü amaçlı yazılımın en çarpıcı özelliği, araştırmacılar tarafından vurgulandığı gibi, bir ağa erişim sağladıktan sonra insan müdahalesi olmadan kendi kendine yayılmasına veya sistemler arasında çoğalmasına izin veren solucan benzeri davranışıdır.

Güvenlik araştırmacıları yakın zamanda " P2Pinfect " olarak adlandırılan endişe verici bir kötü amaçlı yazılım türüyle karşılaştı. Diğer savunmasız Redis konuşlandırmalarını otonom olarak yayma ve etkileme konusundaki olağanüstü yeteneği dikkatlerini çekti. Bu kendi kendine yayılma davranışı, kötü amaçlı yazılımın erişimini ve etkisini hızla genişletmesini sağlayabileceğinden önemli endişelere yol açar. Araştırmacılar, kapsamlı araştırmalarına rağmen, bu botnet benzeri kötü amaçlı yazılımın belirli hedeflerini henüz belirleyemedi ve konuşlandırılmasının ardındaki amacı bir sır olarak bıraktı. Böylesine gelişmiş ve otonom bir tehdidin potansiyel sonuçları, siber güvenlik topluluğunda kırmızı bayraklar oluşturarak olası saldırılara karşı korunmak için daha fazla analiz ve ihtiyatlı olmayı garanti ediyor.

Palo Alto'nun 42. Birimi bilgisayar korsanlığı kampanyasını analiz etti ve 19 Temmuz'da yayınlanan raporu, kötü amaçlı yazılımın CVE-2022-0543'ü Redis uygulamalarına el koymak ve onları bir botnet'e asimile etmek için kullandığını ortaya çıkardı. Bu botnet, bilgisayar korsanının kontrolü altındaki bir dizi virüslü bilgisayardan oluşur. Aynı güvenlik açığı , 2022'de cihazları Muhstik botnet'ine asimile etmek için daha önce istismara maruz kalmış olsa da, Unit 42'nin bulgularına göre en son kötü amaçlı yazılım olan P2PInfect, belirgin bir kötü niyetli ağ ile ilişkili görünüyor ve Muhstik ile bağlantılı değil.
Rapor, Unit 42'nin bulgularının çoğuyla uyumlu olup, kötü amaçlı yazılımın Rust programlama dilinde kodlandığını ve botnet'e bağlandıktan sonra diğer ana bilgisayarlara bulaşmaya çalıştığını ortaya koyuyor.

Ancak, iki önemli ayrım keşfedildi. İlk olarak, araştırmacıları tarafından analiz edilen kötü amaçlı yazılım örneği, CVE-2022-0543'ü ilk erişim noktası olarak kullanmadı. İkincisi, P2Pinfect hem Windows hem de Linux Redis örneklerini hedef aldı. Rust programlama dilini kullanmanın, kötü amaçlı yazılımın hem Windows hem de Linux platformlarında çalışmasına izin verirken analistlerin kodu analiz etmesini zorlaştırdığını belirttiler. Kötü amaçlı yazılımın arkasındakilerin amacı ve kimliği belirsizliğini koruyor. Güvenliği ihlal edilmiş sistemler bir "madenci dosyası" çekse de, kripto madenciliği görevlerini yerine getirmiyor gibi görünüyor. Bu "madenci" potansiyel olarak, tehdit aktörü tarafından gelecekteki kripto madenciliği dağıtımı için bir yer tutucu görevi görebilir. Benzer şekilde, Birim 42, P2PInfect'in tehdit edici araç setinde "madenci" kelimesinin örneklerini gözlemledi, ancak kripto madenciliği operasyonlarına dair kesin kanıt bulamadı.

Kötü amaçlı yazılımın iki yönlü bir amacı vardır. İlk olarak, bilgisayar korsanlarının Redis sunucusunu tehlikeye atmaya çalışan diğer tehdit aktörlerinden korumasına izin verirken, sunucunun yasal olarak çalışmaya devam etmesini sağlar ve böylece sahipleri tarafından tespit edilmekten kaçınır. Virüs bulaştığında, güvenliği ihlal edilmiş sunucu eşler arası botnet'in bir bileşeni haline gelir. Bu yapılandırma, merkezi bir Komut ve Kontrol (C2) sunucusuna ihtiyaç duymadan tüm botnet düğümleri arasında sorunsuz iletişim sağlar. Araştırmacılar, komutların ağ üzerinden imzalı mesajlar ileterek kullanıma sunulduğunu öne sürüyor. Kötü amaçlı yazılım, SSH ağ iletişim protokolü için bir kullanıcı listesi, IP adresleri ve erişim anahtarları toplayarak bulaşmayı yaymak için ek ana bilgisayarları hedefler. Yeni bir ana bilgisayar erişim kazandığında, kötü amaçlı yazılım, güvenliği ihlal edilmiş sunucuya başlangıçta bulaştığı gibi kendini çoğaltır. Bu, yerleşik HTTP sunucusundan kendi kopyasının alınmasını ve bunu bir bağımsız değişken olarak bir düğüm listesiyle çalıştırmayı ve böylece diğer savunmasız sistemlere erişimini genişletmeyi içerir.

Solucan Benzeri Niteliklere Sahip Kötü Amaçlı Botnet Yazılımı, Popüler Redis Depolama Aracını Hedefliyor Ekran Görüntüsü