Le logiciel malveillant P2Pinfect cible à la fois les serveurs Windows et Linux Redis

Une nouvelle campagne de logiciels malveillants hautement sophistiquée baptisée "P2Pinfect" a récemment émergé, ciblant les déploiements accessibles au public du magasin de données Redis. Cado Security Labs a révélé que le malware est codé dans le langage de programmation Rust, introduisant des complexités qui le rendent difficile à analyser.

Pour fournir le contexte, il convient de noter qu'avant l'analyse de P2Pinfect par Cado Security, les chercheurs d'Unit42 avaient déjà effectué un examen séparé de la variante Windows du même malware.

Les chercheurs de Cado Security ont découvert que le logiciel malveillant P2Pinfect fonctionne comme un agent de botnet et possède la capacité unique de fonctionner de manière transparente sur les plates-formes Windows et Linux. Ils ont identifié un exécutable portable (PE) intégré et un exécutable ELF supplémentaire dans l'échantillon de malware, confirmant sa capacité à infecter les systèmes fonctionnant sur les deux systèmes d'exploitation.

Mode de fonctionnement de P2Pinfect

Le logiciel malveillant initie son intrusion dans les systèmes compromis en exploitant la fonction de réplication des magasins de données Redis. Une fois la réplication réalisée, le logiciel malveillant procède au chargement d'un fichier objet partagé malveillant, lui accordant un accès shell inversé et le pouvoir d'exécuter des commandes shell arbitraires sur l'hôte.

Pour échapper à la détection et à l'analyse, le logiciel malveillant utilise des techniques d'évasion sophistiquées, ce qui rend son identification plus difficile.

Lors de l'établissement d'un pied, P2Pinfect présente un comportement semblable à un ver en tentant activement de se propager à d'autres hôtes du réseau. Il recherche activement les serveurs Redis et SSH exposés, en utilisant une liste de mots de passe pour lancer des attaques par force brute.

De plus, le malware met en place un botnet peer-to-peer décentralisé, où les serveurs infectés agissent comme des nœuds qui se connectent à d'autres serveurs compromis. Cette approche permet au botnet de communiquer entre eux sans dépendre d'un serveur centralisé de commande et de contrôle (C2).

Cado Security Labs a également découvert que le logiciel malveillant avait la capacité de déposer et d'exécuter des charges utiles supplémentaires. Cependant, à l'instar des conclusions d'Unit42, ils n'ont observé aucune activité d'extraction de crypto-monnaie dans l'échantillon analysé.

Les experts ont noté que l'architecture du logiciel malveillant permet à son opérateur de déployer rapidement n'importe quelle charge utile de son choix. Ils se sont engagés à continuer de surveiller P2Pinfect et à fournir des mises à jour au fur et à mesure que de nouveaux développements se produisent.