Novo Worm P2PInfect Tem Como Alvo Servidores Redis com Métodos de Violação Não Documentados
1 de Agosto de 2023

O worm peer-to-peer (P2P) P2PInfect tem sido observado utilizando métodos de acesso inicial previamente não documentados para violar servidores Redis suscetíveis e integrá-los a uma botnet.

"O malware compromete instâncias expostas do armazenamento de dados Redis explorando o recurso de replicação", disseram os pesquisadores de segurança da Cado, Nate Bill e Matt Muir, em um relatório compartilhado com o The Hacker News.

"Um padrão de ataque comum contra o Redis em ambientes de nuvem é explorar esse recurso usando uma instância maliciosa para habilitar a replicação.

Isso é realizado conectando-se a uma instância Redis exposta e emitindo o comando SLAVEOF".
O malware baseado em Rust foi documentado pela primeira vez pela Palo Alto Networks Unit 42, destacando a capacidade do malware de explorar uma vulnerabilidade crítica de fuga do sandbox Lua ( CVE-2022-0543 , pontuação CVSS: 10.0) para obter acesso a instâncias Redis.

Acredita-se que a campanha tenha começado em ou após 29 de junho de 2023.

No entanto, a descoberta mais recente sugere que os atores de ameaças por trás da campanha estão aproveitando diversas explorações para o acesso inicial.

Esta não é a primeira vez que o comando SLAVEOF é abusado.

Anteriormente, atores de ameaças associados a famílias de malwares como H2Miner e HeadCrab abusaram da técnica de ataque para minerar ilicitamente criptomoedas em hosts comprometidos.

Ao fazer isso, o objetivo é replicar uma instância maliciosa e carregar um módulo malicioso para ativar a infecção.

Outro vetor de acesso inicial envolve o registro de um trabalho cron malicioso no host Redis para baixar o malware de um servidor remoto após a execução, um método previamente observado em ataques realizados pelo grupo de cripto-jacking WatchDog.

Uma violação bem-sucedida é seguida pela distribuição de payloads de próxima etapa que permitem que o malware altere as regras do firewall iptables à vontade, se atualize e possivelmente implemente mineradores de criptomoedas em uma data posterior, uma vez que a botnet tenha crescido até um tamanho específico.

"O malware P2Pinfect faz uso de uma botnet peer-to-peer", disseram os pesquisadores.

"Cada servidor infectado é tratado como um nó, que então se conecta a outros servidores infectados.

Isso permite que toda a botnet fofoca um com o outro sem usar um servidor C2 centralizado."

Uma característica notável da botnet é seu comportamento de worm, permitindo que ela expanda seu alcance usando uma lista de senhas para forçar a entrada em servidores SSH e tentar explorar a vulnerabilidade de fuga do sandbox Lua ou usar o comando SLAVEOF no caso de servidores Redis.

A identidade dos atores de ameaças por trás da campanha é atualmente desconhecida e o propósito do P2PInfect permanece incerto, com a Unit 42 notando anteriormente que os indicadores não se sobrepõem a nenhum dos conhecidos grupos de cryptojacking.

"P2Pinfect é bem projetado e utiliza técnicas sofisticadas para replicação e C2", concluíram os pesquisadores.

"A escolha de usar Rust também permite uma portabilidade de código mais fácil entre plataformas (com os binários do Windows e Linux compartilhando muito do mesmo código), além de tornar a análise estática do código significativamente mais difícil."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...