Нов червей P2PInfect е насочен към сървърите на Redis

Червеят P2PInfect peer-to-peer (P2) е наблюдаван да използва недокументирани досега методи за първоначален достъп, за да пробие уязвими сървъри Redis и да ги включи в ботнет.

„Зловредният софтуер компрометира изложените на риск екземпляри на хранилището за данни Redis, като използва функцията за репликация“, казват изследователите от Cado Security Нейт Бил и Мат Муир в доклад, споделен с The Hacker News.

„Често срещан модел на атака срещу Redis в облачни среди е да се използва тази функция, като се използва злонамерена инстанция, за да се активира репликацията. Това се постига чрез свързване към открита инстанция на Redis и издаване на командата SLAVEOF.“

Зловредният софтуер, базиран на Rust, беше документиран за първи път от Palo Alto Networks Unit 42, като беше посочена способността му  да използва критична уязвимост за избягване на Lua sandbox (CVE-2022-0543, CVSS score: 10.0), за да получи опора в инстанциите на Redis. Смята се, че кампанията е започнала на или след 29 юни 2023 г.

Последното откритие обаче предполага, че участниците в заплахата, които стоят зад кампанията, използват множество експлойти за първоначален достъп.

Това не е първият случай, в който се злоупотребява с командата SLAVEOF. Преди това заплахи, свързани със семейства зловреден софтуер като H2Miner и HeadCrab, са злоупотребявали с техниката за атака, за да добиват незаконно криптовалута на компрометирани хостове.

При това целта е да се възпроизведе зловреден екземпляр и да се зареди зловреден модул, за да се активира инфекцията.

Друг първоначален вектор за достъп предполага регистрирането на злонамерена задача cron на хоста Redis, която при изпълнение да изтегли зловредния софтуер от отдалечен сървър – метод, наблюдаван преди това при атаки, организирани от криптоджакинг групата WatchDog.

Успешният пробив е последван от разпространението на полезен товар на следващ етап, който позволява на зловредния софтуер да променя по желание правилата на защитната стена iptables, да се надгражда и потенциално да разгръща миньори за криптовалута на по-късен етап, след като ботнетът достигне определен размер.

„Зловредният софтуер P2Pinfect използва ботнет от типа peer-to-peer“, казват изследователите. „Всеки заразен сървър се третира като възел, който след това се свързва с други заразени сървъри. Това позволява на цялата ботнет мрежа да общува помежду си, без да използва централизиран C2 сървър.“

Забележителна черта на ботнета е поведението му на червей, което му позволява да разширява обхвата си, като използва списък с пароли за грубо насилване на SSH сървъри и се опитва да използва уязвимостта за избягване на пясъчника Lua или да използва командата SLAVEOF в случая на Redis сървъри.

„P2Pinfect е добре проектиран и използва сложни техники за репликация и C2“, заключават изследователите. „Изборът да се използва Rust също така позволява по-лесна преносимост на кода между платформите (като бинарните файлове за Windows и Linux споделят голяма част от един и същ код), като същевременно значително затруднява статичния анализ на кода.“

 

Източник: The Hacker News

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
Бъдете социални
Още по темата
24/09/2023

Deadglyph: нова усъвършенст...

Изследователи в областта на киберсигурността са...
22/09/2023

"Sandman" пробива телекоми ...

Неизвестна досега заплаха, наречена „Sandman“, се...
22/09/2023

NCSC: Защо атаките за кибер...

44CON 2023 – Лондон – Според...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!