A P2Pinfect rosszindulatú program mind a Windows, mind a Linux Redis kiszolgálókat célozza meg

A közelmúltban megjelent egy „P2Pinfect” névre keresztelt új és rendkívül kifinomult kártevő-kampány, amely a Redis adattár nyilvánosan elérhető telepítéseit célozza meg. A Cado Security Labs felfedte, hogy a rosszindulatú program a Rust programozási nyelven van kódolva, ami bonyolultabbá teszi az elemzést.

A kontextus megadása érdekében érdemes megjegyezni, hogy a Cado Security P2Pinfect elemzése előtt a Unit42 kutatói már külön vizsgálatot végeztek ugyanazon kártevő Windows-változatán.

A Cado Security kutatói megállapították, hogy a P2Pinfect kártevő botnet-ügynökként működik, és egyedülálló képességgel rendelkezik, hogy zökkenőmentesen működjön mind Windows, mind Linux platformon. Egy beágyazott Portable Executable (PE) és egy további ELF végrehajtható fájlt azonosítottak a kártevő-mintában, megerősítve, hogy képes megfertőzni mindkét operációs rendszeren futó rendszereket.

A P2Pinfect működési módja

A rosszindulatú program a Redis adattárak replikációs funkciójának kihasználásával kezdeményezi a behatolást a feltört rendszerekbe. A replikáció elérése után a rosszindulatú program betölt egy rosszindulatú megosztott objektumfájlt, visszafordítva a shell-hozzáférést, és lehetővé teszi, hogy tetszőleges shell-parancsokat hajtson végre a gazdagépen.

Az észlelés és elemzés elkerülése érdekében a rosszindulatú program kifinomult kijátszási technikákat alkalmaz, így azonosítása még nagyobb kihívást jelent.

A P2Pinfect megtámasztásakor féregszerű viselkedést mutat azáltal, hogy aktívan megkísérli továbbterjedni a hálózaton belüli többi gazdagépen. Aktívan keresi a kitett Redis- és SSH-kiszolgálókat, jelszavak listáját használva brute-force támadások indításához.

Ezenkívül a rosszindulatú program egy decentralizált peer-to-peer botnetet hoz létre, ahol a fertőzött szerverek csomópontokként működnek, amelyek csatlakoznak más feltört szerverekhez. Ez a megközelítés lehetővé teszi a botnet számára, hogy anélkül kommunikáljanak egymással, hogy egy központi parancs- és vezérlőkiszolgálóra (C2) támaszkodnának.

A Cado Security Labs azt is felfedezte, hogy a rosszindulatú program képes további rakományok leadására és végrehajtására. Az Unit42 megállapításaihoz hasonlóan azonban nem figyeltek meg kriptovaluta bányászati tevékenységet az elemzett mintában.

A szakértők megjegyezték, hogy a rosszindulatú program architektúrája lehetővé teszi a kezelő számára, hogy az általuk választott hasznos terhet gyorsan telepítse. Megígérték, hogy továbbra is figyelemmel kísérik a P2Pinfect-et, és frissítik az új fejleményeket.