Червеят P2PInfect peer-to-peer (P2) е наблюдаван да използва недокументирани досега методи за първоначален достъп, за да пробие уязвими сървъри Redis и да ги включи в ботнет.

„Зловредният софтуер компрометира изложените на риск екземпляри на хранилището за данни Redis, като използва функцията за репликация“, казват изследователите от Cado Security Нейт Бил и Мат Муир в доклад, споделен с The Hacker News.

„Често срещан модел на атака срещу Redis в облачни среди е да се използва тази функция, като се използва злонамерена инстанция, за да се активира репликацията. Това се постига чрез свързване към открита инстанция на Redis и издаване на командата SLAVEOF.“

Зловредният софтуер, базиран на Rust, беше документиран за първи път от Palo Alto Networks Unit 42, като беше посочена способността му  да използва критична уязвимост за избягване на Lua sandbox (CVE-2022-0543, CVSS score: 10.0), за да получи опора в инстанциите на Redis. Смята се, че кампанията е започнала на или след 29 юни 2023 г.

Последното откритие обаче предполага, че участниците в заплахата, които стоят зад кампанията, използват множество експлойти за първоначален достъп.

Това не е първият случай, в който се злоупотребява с командата SLAVEOF. Преди това заплахи, свързани със семейства зловреден софтуер като H2Miner и HeadCrab, са злоупотребявали с техниката за атака, за да добиват незаконно криптовалута на компрометирани хостове.

При това целта е да се възпроизведе зловреден екземпляр и да се зареди зловреден модул, за да се активира инфекцията.

Друг първоначален вектор за достъп предполага регистрирането на злонамерена задача cron на хоста Redis, която при изпълнение да изтегли зловредния софтуер от отдалечен сървър – метод, наблюдаван преди това при атаки, организирани от криптоджакинг групата WatchDog.

Успешният пробив е последван от разпространението на полезен товар на следващ етап, който позволява на зловредния софтуер да променя по желание правилата на защитната стена iptables, да се надгражда и потенциално да разгръща миньори за криптовалута на по-късен етап, след като ботнетът достигне определен размер.

„Зловредният софтуер P2Pinfect използва ботнет от типа peer-to-peer“, казват изследователите. „Всеки заразен сървър се третира като възел, който след това се свързва с други заразени сървъри. Това позволява на цялата ботнет мрежа да общува помежду си, без да използва централизиран C2 сървър.“

Забележителна черта на ботнета е поведението му на червей, което му позволява да разширява обхвата си, като използва списък с пароли за грубо насилване на SSH сървъри и се опитва да използва уязвимостта за избягване на пясъчника Lua или да използва командата SLAVEOF в случая на Redis сървъри.

„P2Pinfect е добре проектиран и използва сложни техники за репликация и C2“, заключават изследователите. „Изборът да се използва Rust също така позволява по-лесна преносимост на кода между платформите (като бинарните файлове за Windows и Linux споделят голяма част от един и същ код), като същевременно значително затруднява статичния анализ на кода.“

 

Източник: The Hacker News

Подобни публикации

Поглед към Green Transition Forum 5.0

Киберсигурността не е просто техническа дисциплина или изпълнение н...

DuckDuckGo разширява защитата срещу онлайн измами

DuckDuckGo, известен с фокуса си върху поверителността, разширява в...
20 юни 2025

Viasat е поредната жертва на китайската APT гру...

Американската компания за сателитни комуникации Viasat стана обект ...
20 юни 2025

Play ransomware удари Krispy Kreme: над 160 000...

Американската верига за понички и кафе Krispy Kreme потвърди, че пр...
20 юни 2025

Извършител от бандата Ryuk e екстрадиран в САЩ

33-годишен украински гражданин, сочен за член на зловещата рансъмуе...
20 юни 2025

Израел унищожи над 90 милиона долара в криптова...

Хакерската група „Predatory Sparrow“, известна с произраелската си ...
Бъдете социални
Още по темата
20/06/2025

Viasat е поредната жертва н...

Американската компания за сателитни комуникации Viasat...
18/06/2025

Scania потвърди киберинциде...

Шведският автомобилен гигант Scania потвърди, че...
16/06/2025

WestJet потвърди кибератака...

WestJet, втората по големина авиокомпания на...
Последно добавени
20/06/2025

Поглед към Green Transition...

Киберсигурността не е просто техническа дисциплина...
20/06/2025

DuckDuckGo разширява защита...

DuckDuckGo, известен с фокуса си върху...
20/06/2025

Viasat е поредната жертва н...

Американската компания за сателитни комуникации Viasat...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!