Търсене
Close this search box.

Нов червей P2PInfect е насочен към сървърите на Redis

Червеят P2PInfect peer-to-peer (P2) е наблюдаван да използва недокументирани досега методи за първоначален достъп, за да пробие уязвими сървъри Redis и да ги включи в ботнет.

„Зловредният софтуер компрометира изложените на риск екземпляри на хранилището за данни Redis, като използва функцията за репликация“, казват изследователите от Cado Security Нейт Бил и Мат Муир в доклад, споделен с The Hacker News.

„Често срещан модел на атака срещу Redis в облачни среди е да се използва тази функция, като се използва злонамерена инстанция, за да се активира репликацията. Това се постига чрез свързване към открита инстанция на Redis и издаване на командата SLAVEOF.“

Зловредният софтуер, базиран на Rust, беше документиран за първи път от Palo Alto Networks Unit 42, като беше посочена способността му  да използва критична уязвимост за избягване на Lua sandbox (CVE-2022-0543, CVSS score: 10.0), за да получи опора в инстанциите на Redis. Смята се, че кампанията е започнала на или след 29 юни 2023 г.

Последното откритие обаче предполага, че участниците в заплахата, които стоят зад кампанията, използват множество експлойти за първоначален достъп.

Това не е първият случай, в който се злоупотребява с командата SLAVEOF. Преди това заплахи, свързани със семейства зловреден софтуер като H2Miner и HeadCrab, са злоупотребявали с техниката за атака, за да добиват незаконно криптовалута на компрометирани хостове.

При това целта е да се възпроизведе зловреден екземпляр и да се зареди зловреден модул, за да се активира инфекцията.

Друг първоначален вектор за достъп предполага регистрирането на злонамерена задача cron на хоста Redis, която при изпълнение да изтегли зловредния софтуер от отдалечен сървър – метод, наблюдаван преди това при атаки, организирани от криптоджакинг групата WatchDog.

Успешният пробив е последван от разпространението на полезен товар на следващ етап, който позволява на зловредния софтуер да променя по желание правилата на защитната стена iptables, да се надгражда и потенциално да разгръща миньори за криптовалута на по-късен етап, след като ботнетът достигне определен размер.

„Зловредният софтуер P2Pinfect използва ботнет от типа peer-to-peer“, казват изследователите. „Всеки заразен сървър се третира като възел, който след това се свързва с други заразени сървъри. Това позволява на цялата ботнет мрежа да общува помежду си, без да използва централизиран C2 сървър.“

Забележителна черта на ботнета е поведението му на червей, което му позволява да разширява обхвата си, като използва списък с пароли за грубо насилване на SSH сървъри и се опитва да използва уязвимостта за избягване на пясъчника Lua или да използва командата SLAVEOF в случая на Redis сървъри.

„P2Pinfect е добре проектиран и използва сложни техники за репликация и C2“, заключават изследователите. „Изборът да се използва Rust също така позволява по-лесна преносимост на кода между платформите (като бинарните файлове за Windows и Linux споделят голяма част от един и същ код), като същевременно значително затруднява статичния анализ на кода.“

 

Източник: The Hacker News

Подобни публикации

29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
Бъдете социални
Още по темата
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
27/05/2024

Недостатък в Replicate AI и...

Изследователи в областта на киберсигурността са...
27/05/2024

Фалшиви антивирусни сайтове...

Наблюдавани са  заплахи, които използват фалшиви...
Последно добавени
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
29/05/2024

Рутерът за игри TP-Link Arc...

Рутерът за игри TP-Link Archer C5400X...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!