具有类似蠕虫特征的僵尸网络恶意软件瞄准流行的 Redis 存储工具

一个身份不明的黑客组织使用一种独特且值得注意的恶意软件针对可公开访问的 Redis 部署发起了攻击。 Redis 是 Amazon、Hulu 和 Tinder 等大公司数据存储的流行选择。研究人员强调，该恶意软件最引人注目的特征是其类似蠕虫的行为，使其能够在获得网络访问权限后在系统中自我传播或复制，而无需人工干预。

安全研究人员最近遇到了一种名为“ P2Pinfect ”的恶意软件，令人担忧。其自主传播和感染其他易受攻击的 Redis 部署的卓越能力引起了他们的注意。这种自我传播行为引起了人们的严重关注，因为它可以使恶意软件迅速扩大其影响范围和影响。尽管进行了广泛的调查，研究人员尚未确定这种类似僵尸网络的恶意软件的具体目标，使其部署背后的目的笼罩在神秘之中。这种先进的自主威胁的潜在后果在网络安全界引起了危险，需要进一步分析和保持警惕，以防范可能的攻击。

Palo Alto 的 Unit 42 分析了此次黑客活动，他们于 7 月 19 日发布的报告揭示了该恶意软件利用 CVE-2022-0543 来征用 Redis 应用程序并将其纳入僵尸网络。该僵尸网络由黑客控制下的受感染计算机组成。根据 Unit 42 的调查结果，虽然同一漏洞之前曾在 2022 年被利用以将设备同化到 Muhstik 僵尸网络中，但最新的恶意软件 P2PInfect 似乎与一个独特的恶意网络相关，并且与 Muhstik 无关。
该报告与 Unit 42 的大部分调查结果一致，表明该恶意软件是用 Rust 编程语言编写的，一旦连接到僵尸网络，就会尝试感染其他主机。

然而，发现了两个显着的区别。首先，研究人员分析的恶意软件样本并未利用 CVE-2022-0543 作为初始访问点。其次，P2Pinfect 同时针对 Windows 和 Linux Redis 实例。他们指出，使用 Rust 编程语言允许恶意软件在 Windows 和 Linux 平台上运行，同时给分析师分析代码带来挑战。该恶意软件背后的目的和身份仍不清楚。尽管受感染的系统会拉取“矿工文件”，但它似乎并没有执行加密挖掘任务。该“矿工”可能会成为威胁行为者未来进行加密货币挖矿分发的占位符。同样，Unit 42 在 P2PInfect 的威胁工具包中观察到了“矿工”一词的实例，但没有找到加密货币挖矿操作的确凿证据。

该恶意软件有两个目的。首先，它允许黑客保护 Redis 服务器免受其他试图破坏它的威胁行为者的侵害，同时确保服务器继续合法运行，从而避免被其所有者检测到。感染后，受感染的服务器将成为点对点僵尸网络的组成部分。此配置可实现所有僵尸网络节点之间的无缝通信，而无需集中式命令和控制 (C2) 服务器。研究人员建议通过在网络上传输签名消息来发布命令。该恶意软件以其他主机为目标，通过收集 SSH 网络通信协议的用户列表、IP 地址和访问密钥来传播感染。一旦新主机获得访问权限，恶意软件就会像最初感染受感染的服务器一样进行自我复制。这涉及从内置 HTTP 服务器获取自身的副本，并使用节点列表作为参数执行它，从而将其影响范围扩展到其他易受攻击的系统。

具有类似蠕虫特征的僵尸网络恶意软件瞄准流行的 Redis 存储工具 截图