Зловмисне програмне забезпечення ботнету з характеристиками, схожими на хробака, націлюється на популярний інструмент зберігання Redis

Невідома група хакерів здійснила атаку, використовуючи унікальний і вартий уваги штам зловмисного програмного забезпечення, спрямоване на загальнодоступні розгортання Redis. Redis є популярним вибором таких великих компаній, як Amazon, Hulu та Tinder, для зберігання даних. Найбільш вражаючою особливістю зловмисного програмного забезпечення є його поведінка, подібна до хробака, що дозволяє йому самостійно поширюватися або розмножуватися в системах без втручання людини після отримання доступу до мережі, як підкреслюють дослідники.

Дослідники безпеки нещодавно натрапили на тривожний штам зловмисного програмного забезпечення під назвою « P2Pinfect ». Його дивовижна здатність автономно поширювати та заражати інші вразливі системи Redis привернула їх увагу. Така поведінка саморозповсюдження викликає значні занепокоєння, оскільки може дозволити зловмисному програмному забезпеченню швидко розширити свій охоплення та вплив. Незважаючи на своє широке дослідження, дослідники ще не визначили конкретні цілі цього шкідливого програмного забезпечення, схожого на ботнет, залишаючи мету його розгортання оповитою таємницею. Потенційні наслідки такої прогресивної та автономної загрози викликали тривогу в спільноті кібербезпеки, вимагаючи подальшого аналізу та пильності для захисту від можливих атак.

Підрозділ 42 Пало-Альто проаналізував хакерську кампанію, і їх звіт, опублікований 19 липня, виявив використання зловмисним програмним забезпеченням CVE-2022-0543 для захоплення додатків Redis і асиміляції їх у ботнет. Цей ботнет містить набір заражених комп’ютерів під контролем хакера. У той час як ця сама вразливість була предметом попередньої експлуатації для асиміляції пристроїв у ботнет Muhstik у 2022 році , згідно з висновками Unit 42, останнє зловмисне програмне забезпечення, P2PInfect, схоже, пов’язане з окремою зловмисною мережею та не пов’язане з Muhstik.
Звіт узгоджується з більшістю висновків Unit 42, показуючи, що шкідливе програмне забезпечення закодовано на мові програмування Rust і намагається заразити інші хости після підключення до ботнету.

Однак було виявлено дві помітні відмінності. По-перше, зразок шкідливого програмного забезпечення, проаналізований їхніми дослідниками, не використовував CVE-2022-0543 як початкову точку доступу. По-друге, P2Pinfect націлений як на Windows, так і на Linux Redis. Вони відзначили, що використання мови програмування Rust дозволило зловмисному програмному забезпеченню працювати як на платформах Windows, так і на Linux, але аналітикам було складно аналізувати код. Мета та особи тих, хто стоїть за шкідливим програмним забезпеченням, залишаються незрозумілими. Хоча скомпрометовані системи витягують «файл майнера», здається, він не виконує завдань криптомайнінгу. Цей «майнер» потенційно може служити заповнювачем для майбутнього розповсюдження криптомайнінгу загрозою. Подібним чином Unit 42 спостерігав випадки слова «майнер» у загрозливому наборі інструментів P2PInfect, але не знайшов переконливих доказів операцій криптомайнінгу.

Зловмисне програмне забезпечення має подвійну мету. По-перше, це дозволяє хакерам захистити сервер Redis від інших загрозливих суб’єктів, які намагаються скомпрометувати його, забезпечуючи при цьому, що сервер продовжує працювати законно, таким чином уникаючи виявлення його власниками. Після зараження скомпрометований сервер стає складовою однорангової бот-мережі. Ця конфігурація забезпечує безперебійний зв’язок між усіма вузлами ботнету без необхідності централізованого сервера Ccommand-and-Control (C2). Дослідники припускають, що команди розгортаються шляхом передачі підписаних повідомлень через мережу. Зловмисне програмне забезпечення націлюється на додаткові хости для поширення інфекції, збираючи список користувачів, IP-адреси та ключі доступу для мережевого протоколу зв’язку SSH. Щойно новий хост отримує доступ, зловмисне програмне забезпечення відтворює себе так, як воно спочатку заразило скомпрометований сервер. Це передбачає отримання своєї копії з вбудованого HTTP-сервера та виконання її зі списком вузлів як аргументом, таким чином розширюючи її доступ до інших уразливих систем.

Зловмисне програмне забезпечення ботнету з характеристиками, схожими на хробака, націлюється на популярний інструмент зберігання Redis скріншотів