P2Pinfect Malware richt zich op zowel Windows- als Linux Redis-servers

Er is onlangs een nieuwe en zeer geavanceerde malwarecampagne genaamd "P2Pinfect" verschenen, gericht op openbaar toegankelijke implementaties van de Redis-gegevensopslag. Cado Security Labs onthulde dat de malware is gecodeerd in de Rust-programmeertaal, waardoor het moeilijk te analyseren is.

Om context te bieden, is het vermeldenswaard dat voorafgaand aan Cado Security's analyse van P2Pinfect, Unit42-onderzoekers al een afzonderlijk onderzoek hadden uitgevoerd naar de Windows-variant van dezelfde malware.

De onderzoekers van Cado Security ontdekten dat de P2Pinfect-malware functioneert als een botnet-agent en het unieke vermogen bezit om naadloos te werken op zowel Windows- als Linux-platforms. Ze identificeerden een ingesloten Portable Executable (PE) en een extra ELF-uitvoerbaar bestand in het malwaremonster, waarmee werd bevestigd dat het in staat is om systemen die op beide besturingssystemen draaien te infecteren.

De werkingsmodus van P2Pinfect

De malware initieert zijn inbraak in gecompromitteerde systemen door gebruik te maken van de replicatiefunctie van Redis-datastores. Zodra replicatie is bereikt, gaat de malware verder met het laden van een kwaadaardig gedeeld objectbestand, waardoor het reverse shell-toegang krijgt en de mogelijkheid krijgt om willekeurige shell-commando's op de host uit te voeren.

Om detectie en analyse te omzeilen, maakt de malware gebruik van geavanceerde ontwijkingstechnieken, waardoor identificatie moeilijker wordt.

Nadat P2Pinfect voet aan de grond heeft gekregen, vertoont het wormachtig gedrag door actief te proberen zichzelf te verspreiden naar andere hosts binnen het netwerk. Het scant actief naar blootgestelde Redis- en SSH-servers en gebruikt een lijst met wachtwoorden om brute-force-aanvallen uit te voeren.

Bovendien zet de malware een gedecentraliseerd peer-to-peer-botnet op, waar geïnfecteerde servers fungeren als knooppunten die verbinding maken met andere gecompromitteerde servers. Deze benadering stelt het botnet in staat met elkaar te communiceren zonder afhankelijk te zijn van een gecentraliseerde command-and-control (C2)-server.

Cado Security Labs ontdekte ook dat de malware de mogelijkheid heeft om extra payloads te droppen en uit te voeren. Echter, vergelijkbaar met de bevindingen van Unit42, hebben ze geen cryptocurrency-mining-activiteiten waargenomen in de geanalyseerde steekproef.

De experts merkten op dat de architectuur van de malware de operator in staat stelt om snel elke payload van hun keuze in te zetten. Ze beloofden P2Pinfect te blijven volgen en updates te geven als er nieuwe ontwikkelingen plaatsvinden.