P2Pinfect Malware er rettet mod både Windows- og Linux Redis-servere

En ny og meget sofistikeret malware-kampagne kaldet "P2Pinfect" er for nylig dukket op, rettet mod offentligt tilgængelige implementeringer af Redis-datalageret. Cado Security Labs afslørede, at malwaren er kodet i Rust-programmeringssproget, hvilket introducerer kompleksiteter, der gør det vanskeligt at analysere.

For at give kontekst er det værd at bemærke, at forud for Cado Securitys analyse af P2Pinfect, havde Unit42-forskere allerede udført en separat undersøgelse af Windows-varianten af den samme malware.

Forskerne ved Cado Security fandt ud af, at P2Pinfect-malwaren fungerer som en botnet-agent og besidder den unikke evne til at fungere problemfrit på både Windows- og Linux-platforme. De identificerede en indlejret Portable Executable (PE) og en yderligere ELF eksekverbar i malware-eksemplet, hvilket bekræfter dens evne til at inficere systemer, der kører på begge operativsystemer.

P2Pinfects funktionsmåde

Malwaren initierer sin indtrængen i kompromitterede systemer ved at udnytte replikeringsfunktionen i Redis datalagre. Når replikering er opnået, fortsætter malwaren med at indlæse en ondsindet delt objektfil, hvilket giver den omvendt shell-adgang og magten til at udføre vilkårlige shell-kommandoer på værten.

For at undgå opdagelse og analyse anvender malwaren sofistikerede unddragelsesteknikker, hvilket gør dets identifikation mere udfordrende.

Ved etablering af fodfæste udviser P2Pinfect ormelignende adfærd ved aktivt at forsøge at udbrede sig til andre værter i netværket. Den scanner aktivt for udsatte Redis- og SSH-servere ved at bruge en liste over adgangskoder til at starte brute-force-angreb.

Derudover opretter malwaren et decentraliseret peer-to-peer botnet, hvor inficerede servere fungerer som noder, der forbinder med andre kompromitterede servere. Denne tilgang gør det muligt for botnettet at kommunikere med hinanden uden at være afhængig af en centraliseret kommando-og-kontrol-server (C2).

Cado Security Labs opdagede også, at malwaren har evnen til at slippe og udføre yderligere nyttelast. Men i lighed med Unit42's resultater observerede de ikke nogen cryptocurrency-mineaktiviteter i den analyserede prøve.

Eksperterne bemærkede, at malwarens arkitektur gør det muligt for dens operatør hurtigt at implementere enhver nyttelast efter eget valg. De lovede at fortsætte med at overvåge P2Pinfect og levere opdateringer, efterhånden som nye udviklinger opstår.