Phần mềm độc hại Botnet với các đặc điểm giống như sâu nhằm vào công cụ lưu trữ Redis phổ biến

Một nhóm tin tặc không xác định đã thực hiện một cuộc tấn công bằng cách sử dụng một dòng phần mềm độc hại độc đáo và đáng chú ý nhắm mục tiêu triển khai Redis có thể truy cập công khai. Redis là lựa chọn phổ biến của các công ty lớn như Amazon, Hulu và Tinder để lưu trữ dữ liệu. Tính năng nổi bật nhất của phần mềm độc hại là hành vi giống như sâu của nó, cho phép nó tự lan truyền hoặc sao chép trên các hệ thống mà không cần sự can thiệp của con người sau khi có quyền truy cập vào mạng, như các nhà nghiên cứu đã nhấn mạnh.

Các nhà nghiên cứu bảo mật gần đây đã gặp phải một dòng phần mềm độc hại đáng lo ngại có tên là " P2Pinfect ". Khả năng vượt trội của nó trong việc lây lan một cách tự động và lây nhiễm các triển khai Redis dễ bị tấn công khác đã thu hút sự chú ý của họ. Hành vi tự lan truyền này gây ra mối lo ngại đáng kể vì nó có thể cho phép phần mềm độc hại mở rộng phạm vi tiếp cận và tác động nhanh chóng. Bất chấp cuộc điều tra mở rộng của họ, các nhà nghiên cứu vẫn chưa xác định được các mục tiêu cụ thể của phần mềm độc hại giống botnet này, khiến mục đích đằng sau việc triển khai của nó bị che giấu trong bí ẩn. Sự phân nhánh tiềm tàng của một mối đe dọa tiên tiến và tự trị như vậy đã làm dấy lên những dấu hiệu cảnh báo trong cộng đồng an ninh mạng, đòi hỏi phải phân tích sâu hơn và cảnh giác để bảo vệ chống lại các cuộc tấn công có thể xảy ra.

Đơn vị 42 của Palo Alto đã phân tích chiến dịch hack và báo cáo của họ, được phát hành vào ngày 19 tháng 7, đã tiết lộ việc sử dụng CVE-2022-0543 của phần mềm độc hại để chỉ huy các ứng dụng Redis và đồng hóa chúng thành một mạng botnet. Botnet này bao gồm một tập hợp các máy tính bị nhiễm dưới sự kiểm soát của tin tặc. Mặc dù lỗ hổng tương tự đã bị khai thác trước đó để đồng hóa các thiết bị vào mạng botnet Muhstik vào năm 2022 , nhưng phần mềm độc hại mới nhất, P2PInfect, dường như được liên kết với một mạng độc ác khác biệt và không được liên kết với Muhstik, theo phát hiện của Đơn vị 42.
Báo cáo phù hợp với nhiều phát hiện của Đơn vị 42, tiết lộ rằng phần mềm độc hại được mã hóa bằng ngôn ngữ lập trình Rust và cố gắng lây nhiễm các máy chủ khác sau khi được kết nối với mạng botnet.

Tuy nhiên, người ta đã phát hiện ra hai điểm khác biệt đáng chú ý. Thứ nhất, mẫu phần mềm độc hại được các nhà nghiên cứu của họ phân tích đã không khai thác CVE-2022-0543 làm điểm truy cập ban đầu. Thứ hai, P2Pinfect nhắm mục tiêu cả phiên bản Windows và Linux Redis. Họ lưu ý rằng việc sử dụng ngôn ngữ lập trình Rust cho phép phần mềm độc hại hoạt động trên cả nền tảng Windows và Linux, đồng thời gây khó khăn cho các nhà phân tích khi phân tích mã. Mục đích và danh tính của những kẻ đứng sau phần mềm độc hại vẫn chưa rõ ràng. Mặc dù các hệ thống bị xâm nhập kéo một "tệp khai thác", nhưng nó dường như không thực hiện các tác vụ khai thác tiền điện tử. "Công cụ khai thác" này có khả năng đóng vai trò là trình giữ chỗ để phân phối khai thác tiền điện tử trong tương lai bởi tác nhân đe dọa. Tương tự, Đơn vị 42 đã quan sát các trường hợp của từ "thợ mỏ" trong bộ công cụ đe dọa của P2PInfect nhưng không tìm thấy bằng chứng thuyết phục về các hoạt động khai thác tiền điện tử.

Phần mềm độc hại có hai mục đích. Thứ nhất, nó cho phép tin tặc bảo vệ máy chủ Redis khỏi các tác nhân đe dọa khác đang cố gắng xâm phạm nó trong khi vẫn đảm bảo máy chủ tiếp tục hoạt động hợp pháp, do đó tránh bị chủ sở hữu phát hiện. Khi bị lây nhiễm, máy chủ bị xâm nhập sẽ trở thành một phần của mạng botnet ngang hàng. Cấu hình này cho phép giao tiếp liền mạch giữa tất cả các nút botnet mà không cần máy chủ Ccommand-and-Control (C2) tập trung. Các nhà nghiên cứu gợi ý rằng các lệnh được triển khai bằng cách truyền các thông báo đã ký qua mạng. Phần mềm độc hại nhắm mục tiêu các máy chủ bổ sung để truyền bá sự lây nhiễm bằng cách thu thập danh sách người dùng, địa chỉ IP và khóa truy cập cho giao thức truyền thông mạng SSH. Khi một máy chủ mới có quyền truy cập, phần mềm độc hại sẽ tự sao chép giống như lúc đầu nó đã lây nhiễm máy chủ bị xâm nhập. Điều đó liên quan đến việc tìm nạp một bản sao của chính nó từ máy chủ HTTP tích hợp và thực thi nó với một danh sách nút làm đối số, do đó mở rộng phạm vi tiếp cận của nó sang các hệ thống dễ bị tấn công khác.

Phần mềm độc hại Botnet với các đặc điểm giống như sâu nhằm vào công cụ lưu trữ Redis phổ biến ảnh chụp màn hình