P2Pinfect Malware retter seg mot både Windows- og Linux Redis-servere

En ny og svært sofistikert malware-kampanje kalt "P2Pinfect" har nylig dukket opp, rettet mot offentlig tilgjengelige distribusjoner av Redis-datalageret. Cado Security Labs avslørte at skadelig programvare er kodet i programmeringsspråket Rust, noe som introduserer kompleksiteter som gjør det vanskelig å analysere.

For å gi kontekst er det verdt å merke seg at før Cado Securitys analyse av P2Pinfect, hadde Unit42-forskere allerede utført en separat undersøkelse av Windows-varianten av samme skadevare.

Forskerne ved Cado Security fant at skadelig programvare P2Pinfect fungerer som en botnet-agent og har den unike muligheten til å fungere sømløst på både Windows- og Linux-plattformer. De identifiserte en innebygd Portable Executable (PE) og en ekstra ELF-kjørbar i prøven av skadelig programvare, og bekreftet dens evne til å infisere systemer som kjører på begge operativsystemene.

P2Pinfects driftsmodus

Skadevaren initierer inntrengning i kompromitterte systemer ved å utnytte replikeringsfunksjonen til Redis datalagre. Når replikering er oppnådd, fortsetter skadevaren med å laste inn en ondsinnet delt objektfil, og gir den omvendt skalltilgang og makt til å utføre vilkårlige skallkommandoer på verten.

For å unngå oppdagelse og analyse, bruker skadevaren sofistikerte unnvikelsesteknikker, noe som gjør identifiseringen mer utfordrende.

Ved å etablere fotfeste, viser P2Pinfect ormelignende oppførsel ved aktivt å forsøke å forplante seg til andre verter i nettverket. Den skanner aktivt etter utsatte Redis- og SSH-servere, og bruker en liste med passord for å starte brute-force-angrep.

I tillegg setter skadelig programvare opp et desentralisert peer-to-peer-botnett, der infiserte servere fungerer som noder som kobles til andre kompromitterte servere. Denne tilnærmingen gjør det mulig for botnettet å kommunisere med hverandre uten å stole på en sentralisert kommando-og-kontroll-server (C2).

Cado Security Labs oppdaget også at skadelig programvare har evnen til å slippe og utføre ytterligere nyttelast. Imidlertid, i likhet med Unit42s funn, observerte de ingen gruvevirksomhet for kryptovaluta i den analyserte prøven.

Ekspertene bemerket at skadevareens arkitektur gjør det mulig for operatøren å raskt distribuere hvilken som helst nyttelast de selv velger. De lovet å fortsette å overvåke P2Pinfect og gi oppdateringer etter hvert som ny utvikling skjer.