Phần mềm độc hại P2Pinfect

Các tác nhân đe dọa đang thực hiện các cuộc tấn công vào các phiên bản dễ bị tấn công của SSH và Redis, một kho lưu trữ dữ liệu nguồn mở. Những kẻ lừa đảo này đang sử dụng một loại sâu tự sao chép ngang hàng được gọi là P2Pinfect, có các phiên bản được thiết kế cho cả hệ điều hành Windows và Linux.

Được phát triển bằng ngôn ngữ lập trình Rust, phần mềm độc hại P2Pinfect sử dụng ít nhất hai phương pháp để giành quyền truy cập ban đầu vào các hệ thống mục tiêu. Phương pháp đầu tiên khai thác một lỗ hổng nghiêm trọng đã được tiết lộ và vá vào năm 2022. Phương pháp thứ hai tận dụng một tính năng trong Redis cho phép sao chép cơ sở dữ liệu chính để cải thiện tính sẵn sàng cao và chống lại các tình huống chuyển đổi dự phòng.

Phần mềm độc hại P2Pinfect sử dụng các vectơ lây nhiễm khác nhau

Ban đầu, P2PInfect tận dụng một lỗ hổng nghiêm trọng được xác định là CVE-2022-0543, có điểm nghiêm trọng tối đa là 10 trên 10. Lỗ hổng bảo mật này ảnh hưởng cụ thể đến các hệ thống Debian và liên quan đến lỗ hổng thoát hộp cát LUA do sự cố đóng gói. Việc khai thác lỗ hổng này đã cấp khả năng thực thi mã từ xa, gây ra mối đe dọa đáng kể cho các hệ thống bị ảnh hưởng.

Khi một phiên bản Redis dễ bị tổn thương bị xâm phạm bằng tải trọng ban đầu, P2PInfect sẽ tiến hành tải xuống các tập lệnh mới và các tệp nhị phân độc hại được điều chỉnh cho hệ điều hành cụ thể. Hơn nữa, máy chủ bị nhiễm được đưa vào danh sách các hệ thống bị xâm nhập của phần mềm độc hại. Sau đó, phần mềm độc hại tích hợp máy chủ bị nhiễm vào mạng ngang hàng của nó, tạo điều kiện phổ biến các tải trọng độc hại đến các máy chủ Redis bị xâm nhập trong tương lai.

Các nhà nghiên cứu điều tra P2PInfect cũng đã phát hiện ra một mẫu thể hiện khả năng tương thích đa nền tảng, cho thấy phần mềm độc hại được thiết kế để nhắm mục tiêu vào cả môi trường Windows và Linux. Mẫu cụ thể này chứa các tệp nhị phân Portable Executable (PE) và ELF, cho phép nó hoạt động trơn tru trên cả hai hệ điều hành. Thật thú vị, biến thể này sử dụng một phương pháp truy cập ban đầu khác, tận dụng tính năng sao chép Redis, cho phép tạo các bản sao chính xác của phiên bản Redis chính/dẫn đầu.

Phần mềm độc hại P2Pinfect lây lan và thêm các hệ thống bị xâm phạm vào Botnet

Tải trọng chính của phần mềm độc hại là một tệp nhị phân ELF, được viết khéo léo bằng sự kết hợp giữa ngôn ngữ lập trình C và Rust. Khi thực thi, nó sẽ kích hoạt thành phần Rust của tải trọng tiếp quản.

Sau khi được kích hoạt, mã nhị phân sẽ tiến hành thực hiện các thay đổi quan trọng đối với cấu hình SSH trên máy chủ được nhắm mục tiêu. Nó sửa đổi cấu hình máy chủ OpenSSH để giống với trạng thái gần như mặc định, cấp cho kẻ tấn công quyền truy cập vào máy chủ thông qua giao thức vỏ bảo mật (SSH) và cho phép xác thực mật khẩu. Tiếp theo, kẻ đe dọa khởi động lại dịch vụ SSH và thêm khóa SSH vào danh sách các khóa được ủy quyền cho người dùng hiện tại, đảm bảo quyền truy cập không bị cản trở vào hệ thống bị xâm nhập.

Trong giai đoạn tiếp theo, kẻ tấn công triển khai một tập lệnh bash để thao tác tên của các tệp nhị phân wget và curl. Tập lệnh cũng xác minh sự hiện diện của các tiện ích cụ thể và cài đặt chúng nếu chúng chưa có sẵn. Việc sử dụng tiện ích tường lửa, dường như là một biện pháp được phần mềm độc hại sử dụng để bảo vệ máy chủ Redis dễ bị tấn công khỏi những kẻ tấn công tiềm năng khác. Phần mềm độc hại thiết lập sự tồn tại trên máy chủ bị xâm nhập, đảm bảo hoạt động liên tục của nó.

Sau đó, máy chủ bị nhiễm được trang bị ít nhất một tệp nhị phân có khả năng quét qua thư mục /proc và truy cập vào số liệu thống kê cho từng quy trình trong đó. Ngoài ra, tệp nhị phân có thể chủ động theo dõi thư mục /proc để biết bất kỳ thay đổi nào.

Hơn nữa, tệp nhị phân sở hữu khả năng nâng cấp tệp nhị phân chính của phần mềm độc hại và thực thi nó nếu chữ ký hiện tại không khớp với chữ ký được lấy từ mạng botnet.

Bằng cách coi mỗi máy chủ Redis bị xâm nhập là một nút, P2PInfect biến mạng thành một mạng botnet ngang hàng. Botnet này hoạt động mà không cần máy chủ Command-and-Control (C2) tập trung, cho phép nó có khả năng nhận hướng dẫn một cách tự động.