Червеят P2PInfect peer-to-peer (P2) е наблюдаван да използва недокументирани досега методи за първоначален достъп, за да пробие уязвими сървъри Redis и да ги включи в ботнет.

„Зловредният софтуер компрометира изложените на риск екземпляри на хранилището за данни Redis, като използва функцията за репликация“, казват изследователите от Cado Security Нейт Бил и Мат Муир в доклад, споделен с The Hacker News.

„Често срещан модел на атака срещу Redis в облачни среди е да се използва тази функция, като се използва злонамерена инстанция, за да се активира репликацията. Това се постига чрез свързване към открита инстанция на Redis и издаване на командата SLAVEOF.“

Зловредният софтуер, базиран на Rust, беше документиран за първи път от Palo Alto Networks Unit 42, като беше посочена способността му  да използва критична уязвимост за избягване на Lua sandbox (CVE-2022-0543, CVSS score: 10.0), за да получи опора в инстанциите на Redis. Смята се, че кампанията е започнала на или след 29 юни 2023 г.

Последното откритие обаче предполага, че участниците в заплахата, които стоят зад кампанията, използват множество експлойти за първоначален достъп.

Това не е първият случай, в който се злоупотребява с командата SLAVEOF. Преди това заплахи, свързани със семейства зловреден софтуер като H2Miner и HeadCrab, са злоупотребявали с техниката за атака, за да добиват незаконно криптовалута на компрометирани хостове.

При това целта е да се възпроизведе зловреден екземпляр и да се зареди зловреден модул, за да се активира инфекцията.

Друг първоначален вектор за достъп предполага регистрирането на злонамерена задача cron на хоста Redis, която при изпълнение да изтегли зловредния софтуер от отдалечен сървър – метод, наблюдаван преди това при атаки, организирани от криптоджакинг групата WatchDog.

Успешният пробив е последван от разпространението на полезен товар на следващ етап, който позволява на зловредния софтуер да променя по желание правилата на защитната стена iptables, да се надгражда и потенциално да разгръща миньори за криптовалута на по-късен етап, след като ботнетът достигне определен размер.

„Зловредният софтуер P2Pinfect използва ботнет от типа peer-to-peer“, казват изследователите. „Всеки заразен сървър се третира като възел, който след това се свързва с други заразени сървъри. Това позволява на цялата ботнет мрежа да общува помежду си, без да използва централизиран C2 сървър.“

Забележителна черта на ботнета е поведението му на червей, което му позволява да разширява обхвата си, като използва списък с пароли за грубо насилване на SSH сървъри и се опитва да използва уязвимостта за избягване на пясъчника Lua или да използва командата SLAVEOF в случая на Redis сървъри.

„P2Pinfect е добре проектиран и използва сложни техники за репликация и C2“, заключават изследователите. „Изборът да се използва Rust също така позволява по-лесна преносимост на кода между платформите (като бинарните файлове за Windows и Linux споделят голяма част от един и същ код), като същевременно значително затруднява статичния анализ на кода.“