P2Pinfect új ransomware és cryptominer eszközei
A P2Pinfect egy rust alapú kártevő, amellyel a Cado Security korábban részletesen foglalkozott. Ez egy meglehetősen kifinomult kártevőminta, amely egy peer-to-peer (P2P) botnetet használ a C2 mechanizmushoz. A kezdeti felfedezéskor a rosszindulatú szoftver többnyire alvónak tűnt. Elsősorban a Redis és egy korlátozott SSH-terjesztő segítségével terjedt, de végül úgy tűnt, hogy a terjedésen kívül más célja nem volt. A közelmúltban megfigyeltük a P2Pinfect új frissítését, amely egy zsarolóvírus és kriptokitermelő hasznos terhet vezet be.
A Cado Security kutatói először 2023 júliusában fedezték fel a honeypot-telemetria triage-elése során. A C2 kommunikációhoz használt TLS tanúsítvány alapján megállapították, hogy a kampány június 23-án kezdődött.
A kártevő a Redis replikációs funkcióinak kihasználásával terjed – ahol a Redis sok csomópontból álló elosztott fürtben fut, vezető/követő topológiát használva. Ez lehetővé teszi, hogy a követő csomópontok a vezető csomópontok pontos másolatává váljanak, így az olvasások az egész fürtön keresztül oszlanak el a terhelés kiegyenlítése érdekében, és némi rugalmasságot biztosítanak egy csomópont kiesése esetén.
Ezt a támadók gyakran kihasználják, mivel a vezetők utasíthatják a követőket, hogy tetszőleges modulokat töltsenek be, amelyek viszont kódfuttatásra használhatók a követő csomópontokon. A P2Pinfect ezt úgy használja ki, hogy a SLAVEOF parancs segítségével a felfedezett, megnyitott Redis csomópontokat a támadó szerver követő csomópontjává alakítja.
A kriptobányász legújabb frissítéseivel, a zsarolóvírus hasznos terhelésével és a rootkit elemekkel demonstrálja a rosszindulatú program szerzőjének folyamatos erőfeszítéseit, hogy hasznot húzzon illegális hozzáférésükből, és tovább terjessze a hálózatot, miközben az továbbra is féreg az interneten.
Furcsa dolog a zsarolóvírus-hasznosító anyag választása olyan rosszindulatú programok esetében, amelyek elsősorban egy efemer memórián belüli adatokat tároló szervert céloznak meg, és a P2Pinfect valószínűleg sokkal több hasznot húz majd bányászából, mint a zsarolóprogramból, mivel a korlátozott mennyiségű kis értékű fájlt képes elérni. A usermode rootkit bevezetése papíron jó kiegészítése a kártevőknek – miközben hatékonyan elrejti a fő binárisokat, a létezéséről tudomást szerző felhasználó könnyen eltávolíthatja az LD előtöltést vagy a binárist. Ha a kezdeti hozzáférés a Redis, akkor a felhasználói módú rootkit is teljesen hatástalan lesz, mivel csak a Redis szolgáltatásfiók előtöltését tudja hozzáadni, amelyen más felhasználók valószínűleg nem fognak bejelentkezni.