P2Pinfect マルウェアは Windows と Linux の両方の Redis サーバーをターゲットにします

最近、「P2Pinfect」と呼ばれる斬新で非常に洗練されたマルウェア キャンペーンが出現し、公的にアクセス可能な Redis データ ストアのデプロイメントをターゲットにしています。 Cado Security Labs は、このマルウェアが Rust プログラミング言語でコーディングされており、分析を困難にする複雑さをもたらしていることを明らかにしました。

コンテキストを提供するために、Cado Security による P2Pinfect の分析に先立って、Unit42 の研究者が同じマルウェアの Windows 亜種について別の調査をすでに実施していたことは注目に値します。

Cado Security の研究者らは、P2Pinfect マルウェアがボットネット エージェントとして機能し、Windows と Linux の両方のプラットフォームでシームレスに動作する独自の機能を備えていることを発見しました。彼らは、マルウェア サンプル内に埋め込まれたポータブル実行可能ファイル (PE) と追加の ELF 実行可能ファイルを特定し、両方のオペレーティング システムで実行されているシステムに感染する能力を確認しました。

P2Pinfect の動作モード

このマルウェアは、Redis データ ストアのレプリケーション機能を悪用して、侵害されたシステムへの侵入を開始します。レプリケーションが完了すると、マルウェアは悪意のある共有オブジェクト ファイルの読み込みを開始し、リバース シェル アクセスとホスト上で任意のシェル コマンドを実行する権限を付与します。

検出と分析を回避するために、マルウェアは高度な回避技術を採用しており、その識別がより困難になっています。

P2Pinfect は足場を確立すると、ネットワーク内の他のホストに積極的に自身を伝播しようとすることでワームのような動作を示します。パスワードのリストを使用してブルート フォース攻撃を開始し、公開された Redis サーバーと SSH サーバーをアクティブにスキャンします。

さらに、このマルウェアは分散型ピアツーピア ボットネットをセットアップし、感染したサーバーが他の侵害されたサーバーに接続するノードとして機能します。このアプローチにより、ボットネットは集中型コマンドアンドコントロール (C2) サーバーに依存せずに相互に通信できるようになります。

Cado Security Labs は、このマルウェアが追加のペイロードをドロップして実行する機能を備えていることも発見しました。ただし、Unit42 の調査結果と同様に、分析されたサンプルでは仮想通貨のマイニング活動は観察されませんでした。

専門家らは、このマルウェアのアーキテクチャにより、オペレーターは任意のペイロードを迅速に展開できると指摘した。彼らは、P2Pinfect の監視を継続し、新たな開発が発生した場合には更新を提供することを約束しました。