Вредоносное ПО P2Pinfect нацелено на серверы Redis для Windows и Linux

Недавно появилась новая и очень сложная кампания вредоносного ПО, получившая название «P2Pinfect», нацеленная на общедоступные развертывания хранилища данных Redis. Лаборатория Cado Security Labs обнаружила, что вредоносное ПО написано на языке программирования Rust, что создает сложности, затрудняющие его анализ.

Чтобы обеспечить контекст, стоит отметить, что до анализа P2Pinfect компанией Cado Security исследователи Unit42 уже провели отдельное исследование версии той же вредоносной программы для Windows.

Исследователи из Cado Security обнаружили, что вредоносное ПО P2Pinfect функционирует как агент ботнета и обладает уникальной способностью беспрепятственно работать как на платформах Windows, так и на Linux. Они обнаружили встроенный Portable Executable (PE) и дополнительный исполняемый файл ELF в образце вредоносного ПО, подтвердив его способность заражать системы, работающие в обеих операционных системах.

Режим работы P2Pinfect

Вредоносное ПО инициирует свое вторжение в скомпрометированные системы, используя функцию репликации хранилищ данных Redis. Как только репликация завершена, вредоносное ПО продолжает загружать вредоносный общий объектный файл, предоставляя ему доступ к обратной оболочке и возможность выполнять произвольные команды оболочки на хосте.

Чтобы избежать обнаружения и анализа, вредоносное ПО использует сложные методы уклонения, что усложняет его идентификацию.

Закрепившись, P2Pinfect ведет себя как червь, активно пытаясь распространиться на другие узлы в сети. Он активно сканирует открытые серверы Redis и SSH, используя список паролей для запуска атак грубой силы.

Кроме того, вредоносное ПО создает децентрализованную одноранговую ботнет, где зараженные серверы действуют как узлы, соединяющиеся с другими скомпрометированными серверами. Такой подход позволяет ботнету взаимодействовать друг с другом, не полагаясь на централизованный сервер управления и контроля (C2).

Cado Security Labs также обнаружила, что вредоносное ПО может сбрасывать и выполнять дополнительные полезные нагрузки. Однако, как и в случае с выводами Unit42, они не обнаружили никакой деятельности по добыче криптовалюты в проанализированном образце.

Эксперты отметили, что архитектура зловреда позволяет его оператору быстро развертывать любую полезную нагрузку по своему выбору. Они пообещали продолжать следить за P2Pinfect и предоставлять обновления по мере появления новых событий.