P2Pinfect Malware riktar sig till både Windows och Linux Redis-servrar

En ny och mycket sofistikerad skadlig programvara kampanj kallad "P2Pinfect" har nyligen dykt upp, inriktad på offentligt tillgängliga distributioner av Redis datalager. Cado Security Labs avslöjade att skadlig programvara är kodad i programmeringsspråket Rust, vilket introducerar komplexiteter som gör det svårt att analysera.

För att ge sammanhang är det värt att notera att före Cado Securitys analys av P2Pinfect hade Unit42-forskare redan genomfört en separat undersökning av Windows-varianten av samma skadliga program.

Forskarna vid Cado Security fann att P2Pinfect skadlig programvara fungerar som en botnätagent och har den unika förmågan att fungera sömlöst på både Windows- och Linux-plattformar. De identifierade en inbäddad Portable Executable (PE) och ytterligare en ELF-körbar i provet av skadlig programvara, vilket bekräftar dess förmåga att infektera system som körs på båda operativsystemen.

P2Pinfects funktionssätt

Skadlig programvara initierar sitt intrång i komprometterade system genom att utnyttja replikeringsfunktionen i Redis datalager. När replikering har uppnåtts fortsätter skadlig programvara att ladda en skadlig delad objektfil, vilket ger den omvänd skalåtkomst och befogenhet att utföra godtyckliga skalkommandon på värden.

För att undvika upptäckt och analys använder den skadliga programvaran sofistikerade metoder för undanflykt, vilket gör identifieringen mer utmanande.

När P2Pinfect etablerat sig uppvisar P2Pinfect ett maskliknande beteende genom att aktivt försöka sprida sig till andra värdar inom nätverket. Den söker aktivt efter exponerade Redis- och SSH-servrar, med hjälp av en lista med lösenord för att starta brute-force-attacker.

Dessutom skapar skadlig programvara ett decentraliserat peer-to-peer-botnät, där infekterade servrar fungerar som noder som ansluter till andra komprometterade servrar. Detta tillvägagångssätt gör det möjligt för botnätet att kommunicera med varandra utan att förlita sig på en centraliserad kommando-och-kontroll-server (C2).

Cado Security Labs upptäckte också att skadlig programvara har förmågan att släppa och exekvera ytterligare nyttolaster. Men i likhet med Unit42:s fynd, observerade de inte någon brytning av kryptovaluta i det analyserade provet.

Experterna noterade att skadlig programvaras arkitektur tillåter dess operatör att snabbt distribuera vilken nyttolast som helst. De lovade att fortsätta övervaka P2Pinfect och tillhandahålla uppdateringar när ny utveckling inträffar.