Il malware P2Pinfect prende di mira i server Redis sia Windows che Linux

Di recente è emersa una campagna malware nuova e altamente sofisticata denominata "P2Pinfect", che prende di mira le implementazioni pubblicamente accessibili del data store Redis. Cado Security Labs ha rivelato che il malware è codificato nel linguaggio di programmazione Rust, introducendo complessità che ne rendono difficile l'analisi.

Per fornire un contesto, vale la pena notare che prima dell'analisi di P2Pinfect da parte di Cado Security, i ricercatori di Unit42 avevano già condotto un esame separato della variante Windows dello stesso malware.

I ricercatori di Cado Security hanno scoperto che il malware P2Pinfect funziona come un agente botnet e possiede la capacità unica di operare senza problemi su entrambe le piattaforme Windows e Linux. Hanno identificato un Portable Executable (PE) incorporato e un eseguibile ELF aggiuntivo nel campione di malware, confermando la sua capacità di infettare i sistemi in esecuzione su entrambi i sistemi operativi.

Modalità di funzionamento di P2Pinfect

Il malware avvia la sua intrusione nei sistemi compromessi sfruttando la funzionalità di replica degli archivi dati Redis. Una volta raggiunta la replica, il malware procede a caricare un file oggetto condiviso dannoso, concedendogli l'accesso alla shell inversa e il potere di eseguire comandi shell arbitrari sull'host.

Per eludere il rilevamento e l'analisi, il malware impiega sofisticate tecniche di evasione, rendendo la sua identificazione più difficile.

Dopo aver stabilito un punto d'appoggio, P2Pinfect mostra un comportamento simile a un worm tentando attivamente di propagarsi ad altri host all'interno della rete. Esegue attivamente la scansione dei server Redis e SSH esposti, utilizzando un elenco di password per lanciare attacchi di forza bruta.

Inoltre, il malware crea una botnet peer-to-peer decentralizzata, in cui i server infetti fungono da nodi che si connettono con altri server compromessi. Questo approccio consente alle botnet di comunicare tra loro senza fare affidamento su un server di comando e controllo (C2) centralizzato.

Cado Security Labs ha anche scoperto che il malware ha la capacità di eliminare ed eseguire payload aggiuntivi. Tuttavia, analogamente ai risultati di Unit42, non hanno osservato alcuna attività di mining di criptovaluta nel campione analizzato.

Gli esperti hanno notato che l'architettura del malware consente al suo operatore di distribuire rapidamente qualsiasi payload di sua scelta. Si sono impegnati a continuare a monitorare P2Pinfect e a fornire aggiornamenti man mano che si verificano nuovi sviluppi.