O worm peer-to-peer (P2P) P2PInfect tem sido observado utilizando métodos de acesso inicial previamente não documentados para violar servidores Redis suscetíveis e integrá-los a uma botnet.
"O malware compromete instâncias expostas do armazenamento de dados Redis explorando o recurso de replicação", disseram os pesquisadores de segurança da Cado, Nate Bill e Matt Muir, em um relatório compartilhado com o The Hacker News.
"Um padrão de ataque comum contra o Redis em ambientes de nuvem é explorar esse recurso usando uma instância maliciosa para habilitar a replicação.
Isso é realizado conectando-se a uma instância Redis exposta e emitindo o comando SLAVEOF".
O malware baseado em Rust foi documentado pela primeira vez pela Palo Alto Networks Unit 42, destacando a capacidade do malware de explorar uma vulnerabilidade crítica de fuga do sandbox Lua (
CVE-2022-0543
, pontuação CVSS: 10.0) para obter acesso a instâncias Redis.
Acredita-se que a campanha tenha começado em ou após 29 de junho de 2023.
No entanto, a descoberta mais recente sugere que os atores de ameaças por trás da campanha estão aproveitando diversas explorações para o acesso inicial.
Esta não é a primeira vez que o comando SLAVEOF é abusado.
Anteriormente, atores de ameaças associados a famílias de malwares como H2Miner e HeadCrab abusaram da técnica de ataque para minerar ilicitamente criptomoedas em hosts comprometidos.
Ao fazer isso, o objetivo é replicar uma instância maliciosa e carregar um módulo malicioso para ativar a infecção.
Outro vetor de acesso inicial envolve o registro de um trabalho cron malicioso no host Redis para baixar o malware de um servidor remoto após a execução, um método previamente observado em ataques realizados pelo grupo de cripto-jacking WatchDog.
Uma violação bem-sucedida é seguida pela distribuição de payloads de próxima etapa que permitem que o malware altere as regras do firewall iptables à vontade, se atualize e possivelmente implemente mineradores de criptomoedas em uma data posterior, uma vez que a botnet tenha crescido até um tamanho específico.
"O malware P2Pinfect faz uso de uma botnet peer-to-peer", disseram os pesquisadores.
"Cada servidor infectado é tratado como um nó, que então se conecta a outros servidores infectados.
Isso permite que toda a botnet fofoca um com o outro sem usar um servidor C2 centralizado."
Uma característica notável da botnet é seu comportamento de worm, permitindo que ela expanda seu alcance usando uma lista de senhas para forçar a entrada em servidores SSH e tentar explorar a vulnerabilidade de fuga do sandbox Lua ou usar o comando SLAVEOF no caso de servidores Redis.
A identidade dos atores de ameaças por trás da campanha é atualmente desconhecida e o propósito do P2PInfect permanece incerto, com a Unit 42 notando anteriormente que os indicadores não se sobrepõem a nenhum dos conhecidos grupos de cryptojacking.
"P2Pinfect é bem projetado e utiliza técnicas sofisticadas para replicação e C2", concluíram os pesquisadores.
"A escolha de usar Rust também permite uma portabilidade de código mais fácil entre plataformas (com os binários do Windows e Linux compartilhando muito do mesmo código), além de tornar a análise estática do código significativamente mais difícil."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...