Το κακόβουλο λογισμικό P2Pinfect στοχεύει σε διακομιστές Redis Windows και Linux

Μια νέα και εξαιρετικά εξελιγμένη καμπάνια κακόβουλου λογισμικού με την ονομασία "P2Pinfect" εμφανίστηκε πρόσφατα, η οποία στοχεύει σε προσβάσιμες από το κοινό αναπτύξεις του καταστήματος δεδομένων Redis. Η Cado Security Labs αποκάλυψε ότι το κακόβουλο λογισμικό είναι κωδικοποιημένο στη γλώσσα προγραμματισμού Rust, εισάγοντας πολυπλοκότητες που καθιστούν δύσκολη την ανάλυση.

Για την παροχή του πλαισίου, αξίζει να σημειωθεί ότι πριν από την ανάλυση του P2Pinfect από την Cado Security, οι ερευνητές του Unit42 είχαν ήδη πραγματοποιήσει μια ξεχωριστή εξέταση της παραλλαγής Windows του ίδιου κακόβουλου λογισμικού.

Οι ερευνητές της Cado Security διαπίστωσαν ότι το κακόβουλο λογισμικό P2Pinfect λειτουργεί ως πράκτορας botnet και διαθέτει τη μοναδική ικανότητα να λειτουργεί απρόσκοπτα σε πλατφόρμες Windows και Linux. Εντόπισαν ένα ενσωματωμένο Portable Executable (PE) και ένα επιπλέον ELF εκτελέσιμο στο δείγμα κακόβουλου λογισμικού, επιβεβαιώνοντας την ικανότητά του να μολύνει συστήματα που εκτελούνται και στα δύο λειτουργικά συστήματα.

Τρόπος λειτουργίας του P2Pinfect

Το κακόβουλο λογισμικό ξεκινά την εισβολή του σε παραβιασμένα συστήματα εκμεταλλευόμενη τη δυνατότητα αναπαραγωγής των αποθηκών δεδομένων Redis. Μόλις επιτευχθεί η αναπαραγωγή, το κακόβουλο λογισμικό προχωρά στη φόρτωση ενός κακόβουλου αρχείου κοινόχρηστου αντικειμένου, παρέχοντάς του αντίστροφη πρόσβαση στο φλοιό και την εξουσία να εκτελεί αυθαίρετες εντολές φλοιού στον κεντρικό υπολογιστή.

Για να αποφύγει τον εντοπισμό και την ανάλυση, το κακόβουλο λογισμικό χρησιμοποιεί εξελιγμένες τεχνικές αποφυγής, καθιστώντας την αναγνώρισή του πιο δύσκολη.

Με τη δημιουργία μιας βάσης, το P2Pinfect επιδεικνύει συμπεριφορά τύπου worm επιχειρώντας ενεργά να διαδοθεί σε άλλους κεντρικούς υπολογιστές εντός του δικτύου. Σαρώνει ενεργά για εκτεθειμένους διακομιστές Redis και SSH, χρησιμοποιώντας μια λίστα κωδικών πρόσβασης για την εκτόξευση επιθέσεων ωμής βίας.

Επιπλέον, το κακόβουλο λογισμικό δημιουργεί ένα αποκεντρωμένο botnet peer-to-peer, όπου οι μολυσμένοι διακομιστές λειτουργούν ως κόμβοι που συνδέονται με άλλους παραβιασμένους διακομιστές. Αυτή η προσέγγιση επιτρέπει στο botnet να επικοινωνεί μεταξύ τους χωρίς να βασίζεται σε έναν κεντρικό διακομιστή εντολών και ελέγχου (C2).

Η Cado Security Labs ανακάλυψε επίσης ότι το κακόβουλο λογισμικό έχει τη δυνατότητα να ρίχνει και να εκτελεί επιπλέον ωφέλιμα φορτία. Ωστόσο, παρόμοια με τα ευρήματα της Unit42, δεν παρατήρησαν δραστηριότητες εξόρυξης κρυπτονομισμάτων στο δείγμα που αναλύθηκε.

Οι ειδικοί σημείωσαν ότι η αρχιτεκτονική του κακόβουλου λογισμικού επιτρέπει στον χειριστή του να αναπτύξει γρήγορα οποιοδήποτε ωφέλιμο φορτίο της επιλογής του. Δεσμεύτηκαν να συνεχίσουν να παρακολουθούν το P2Pinfect και να παρέχουν ενημερώσεις καθώς προκύπτουν νέες εξελίξεις.