具有類似蠕蟲特徵的殭屍網絡惡意軟件瞄準流行的 Redis 存儲工具

一個身份不明的黑客組織使用一種獨特且值得注意的惡意軟件針對可公開訪問的 Redis 部署發起了攻擊。 Redis 是 Amazon、Hulu 和 Tinder 等大公司數據存儲的流行選擇。研究人員強調，該惡意軟件最引人注目的特徵是其類似蠕蟲的行為，使其能夠在獲得網絡訪問權限後在系統中自我傳播或複制，而無需人工干預。

安全研究人員最近遇到了一種名為“ P2Pinfect ”的惡意軟件，令人擔憂。其自主傳播和感染其他易受攻擊的 Redis 部署的卓越能力引起了他們的注意。這種自我傳播行為引起了人們的嚴重關注，因為它可以使惡意軟件迅速擴大其影響範圍和影響。儘管進行了廣泛的調查，研究人員尚未確定這種類似殭屍網絡的惡意軟件的具體目標，使其部署背後的目的籠罩在神秘之中。這種先進的自主威脅的潛在後果在網絡安全界引起了危險，需要進一步分析和保持警惕，以防範可能的攻擊。

Palo Alto 的 Unit 42 分析了此次黑客活動，他們於 7 月 19 日發布的報告揭示了該惡意軟件利用 CVE-2022-0543 來徵用 Redis 應用程序並將其納入殭屍網絡。該殭屍網絡由黑客控制下的受感染計算機組成。根據 Unit 42 的調查結果，雖然同一漏洞之前曾在 2022 年被利用以將設備同化到 Muhstik 殭屍網絡中，但最新的惡意軟件 P2PInfect 似乎與一個獨特的惡意網絡相關，並且與 Muhstik 無關。
該報告與 Unit 42 的大部分調查結果一致，表明該惡意軟件是用 Rust 編程語言編寫的，一旦連接到殭屍網絡，就會嘗試感染其他主機。

然而，發現了兩個顯著的區別。首先，研究人員分析的惡意軟件樣本並未利用 CVE-2022-0543 作為初始訪問點。其次，P2Pinfect 同時針對 Windows 和 Linux Redis 實例。他們指出，使用 Rust 編程語言允許惡意軟件在 Windows 和 Linux 平台上運行，同時給分析師分析代碼帶來挑戰。該惡意軟件背後的目的和身份仍不清楚。儘管受感染的系統會拉取“礦工文件”，但它似乎並沒有執行加密挖掘任務。該“礦工”可能會成為威脅行為者未來進行加密貨幣挖礦分發的佔位符。同樣，Unit 42 在 P2PInfect 的威脅工具包中觀察到了“礦工”一詞的實例，但沒有找到加密貨幣挖礦操作的確鑿證據。

該惡意軟件有兩個目的。首先，它允許黑客保護 Redis 服務器免受其他試圖破壞它的威脅行為者的侵害，同時確保服務器繼續合法運行，從而避免被其所有者檢測到。感染後，受感染的服務器將成為點對點殭屍網絡的組成部分。此配置可實現所有殭屍網絡節點之間的無縫通信，而無需集中式命令和控制 (C2) 服務器。研究人員建議通過在網絡上傳輸簽名消息來發布命令。該惡意軟件以其他主機為目標，通過收集 SSH 網絡通信協議的用戶列表、IP 地址和訪問密鑰來傳播感染。一旦新主機獲得訪問權限，惡意軟件就會像最初感染受感染的服務器一樣進行自我複制。這涉及從內置 HTTP 服務器獲取自身的副本，並使用節點列表作為參數執行它，從而將其影響範圍擴展到其他易受攻擊的系統。

具有類似蠕蟲特徵的殭屍網絡惡意軟件瞄準流行的 Redis 存儲工具 截图