Złośliwe oprogramowanie P2Pinfect atakuje zarówno serwery Redis z systemem Windows, jak i Linux

Niedawno pojawiła się nowatorska i wysoce wyrafinowana kampania złośliwego oprogramowania o nazwie „P2Pinfect”, której celem są publicznie dostępne wdrożenia magazynu danych Redis. Cado Security Labs ujawniło, że złośliwe oprogramowanie jest zakodowane w języku programowania Rust, co wprowadza złożoność utrudniającą analizę.

Aby zapewnić kontekst, warto zauważyć, że przed analizą P2Pinfect przez Cado Security badacze z Unit42 przeprowadzili już oddzielne badanie wariantu tego samego złośliwego oprogramowania dla systemu Windows.

Naukowcy z Cado Security odkryli, że złośliwe oprogramowanie P2Pinfect działa jako agent botnetu i posiada wyjątkową zdolność do bezproblemowego działania zarówno na platformach Windows, jak i Linux. W próbce złośliwego oprogramowania zidentyfikowali osadzony przenośny plik wykonywalny (PE) i dodatkowy plik wykonywalny ELF, potwierdzając jego zdolność do infekowania systemów działających w obu systemach operacyjnych.

Tryb działania P2Pinfect

Złośliwe oprogramowanie inicjuje wtargnięcie do zaatakowanych systemów, wykorzystując funkcję replikacji magazynów danych Redis. Po osiągnięciu replikacji złośliwe oprogramowanie kontynuuje ładowanie złośliwego pliku obiektu współdzielonego, przyznając mu odwrotny dostęp do powłoki i uprawnienia do wykonywania dowolnych poleceń powłoki na hoście.

Aby uniknąć wykrycia i analizy, złośliwe oprogramowanie wykorzystuje wyrafinowane techniki omijania, co utrudnia jego identyfikację.

Po ustanowieniu przyczółka, P2Pinfect wykazuje zachowanie podobne do robaka, aktywnie próbując rozprzestrzeniać się na inne hosty w sieci. Aktywnie skanuje w poszukiwaniu odsłoniętych serwerów Redis i SSH, używając listy haseł do przeprowadzania ataków typu brute-force.

Ponadto złośliwe oprogramowanie tworzy zdecentralizowany botnet peer-to-peer, w którym zainfekowane serwery działają jako węzły łączące się z innymi zagrożonymi serwerami. Takie podejście umożliwia botnetowi komunikowanie się między sobą bez polegania na scentralizowanym serwerze dowodzenia i kontroli (C2).

Cado Security Labs odkryło również, że złośliwe oprogramowanie może upuszczać i uruchamiać dodatkowe ładunki. Jednak podobnie jak w przypadku Unit42, w analizowanej próbie nie zaobserwowali żadnych działań związanych z wydobywaniem kryptowalut.

Eksperci zauważyli, że architektura złośliwego oprogramowania pozwala jego operatorowi na szybkie wdrożenie dowolnego wybranego przez siebie ładunku. Zobowiązali się do dalszego monitorowania P2Pinfect i dostarczania aktualizacji w miarę pojawiania się nowych wydarzeń.