Novo Worm P2PInfect Tem Como Alvo Servidores Redis com Métodos de Violação Não Documentados
1 de Agosto de 2023

O worm peer-to-peer (P2P) P2PInfect tem sido observado utilizando métodos de acesso inicial previamente não documentados para violar servidores Redis suscetíveis e integrá-los a uma botnet.

"O malware compromete instâncias expostas do armazenamento de dados Redis explorando o recurso de replicação", disseram os pesquisadores de segurança da Cado, Nate Bill e Matt Muir, em um relatório compartilhado com o The Hacker News.

"Um padrão de ataque comum contra o Redis em ambientes de nuvem é explorar esse recurso usando uma instância maliciosa para habilitar a replicação.

Isso é realizado conectando-se a uma instância Redis exposta e emitindo o comando SLAVEOF".
O malware baseado em Rust foi documentado pela primeira vez pela Palo Alto Networks Unit 42, destacando a capacidade do malware de explorar uma vulnerabilidade crítica de fuga do sandbox Lua ( CVE-2022-0543 , pontuação CVSS: 10.0) para obter acesso a instâncias Redis.

Acredita-se que a campanha tenha começado em ou após 29 de junho de 2023.

No entanto, a descoberta mais recente sugere que os atores de ameaças por trás da campanha estão aproveitando diversas explorações para o acesso inicial.

Esta não é a primeira vez que o comando SLAVEOF é abusado.

Anteriormente, atores de ameaças associados a famílias de malwares como H2Miner e HeadCrab abusaram da técnica de ataque para minerar ilicitamente criptomoedas em hosts comprometidos.

Ao fazer isso, o objetivo é replicar uma instância maliciosa e carregar um módulo malicioso para ativar a infecção.

Outro vetor de acesso inicial envolve o registro de um trabalho cron malicioso no host Redis para baixar o malware de um servidor remoto após a execução, um método previamente observado em ataques realizados pelo grupo de cripto-jacking WatchDog.

Uma violação bem-sucedida é seguida pela distribuição de payloads de próxima etapa que permitem que o malware altere as regras do firewall iptables à vontade, se atualize e possivelmente implemente mineradores de criptomoedas em uma data posterior, uma vez que a botnet tenha crescido até um tamanho específico.

"O malware P2Pinfect faz uso de uma botnet peer-to-peer", disseram os pesquisadores.

"Cada servidor infectado é tratado como um nó, que então se conecta a outros servidores infectados.

Isso permite que toda a botnet fofoca um com o outro sem usar um servidor C2 centralizado."

Uma característica notável da botnet é seu comportamento de worm, permitindo que ela expanda seu alcance usando uma lista de senhas para forçar a entrada em servidores SSH e tentar explorar a vulnerabilidade de fuga do sandbox Lua ou usar o comando SLAVEOF no caso de servidores Redis.

A identidade dos atores de ameaças por trás da campanha é atualmente desconhecida e o propósito do P2PInfect permanece incerto, com a Unit 42 notando anteriormente que os indicadores não se sobrepõem a nenhum dos conhecidos grupos de cryptojacking.

"P2Pinfect é bem projetado e utiliza técnicas sofisticadas para replicação e C2", concluíram os pesquisadores.

"A escolha de usar Rust também permite uma portabilidade de código mais fácil entre plataformas (com os binários do Windows e Linux compartilhando muito do mesmo código), além de tornar a análise estática do código significativamente mais difícil."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...