Pesquisadores de cibersegurança descobriram um novo worm de direcionamento à nuvem, peer-to-peer (P2P) chamado P2PInfect que tem como alvo instâncias Redis vulneráveis para exploração subsequente.
"P2PInfect explora servidores Redis que funcionam tanto em sistemas operacionais Linux quanto Windows, tornando-o mais escalável e potente do que outros worms", disseram os pesquisadores da Unidade 42 da Palo Alto Networks, William Gamazo e Nathaniel Quist.
"Este worm também é escrito em Rust, uma linguagem de programação muito escalável e amigável para a nuvem."
Estima-se que até 934 sistemas Redis únicos possam ser vulneráveis à ameaça.
A primeira instância conhecida do P2PInfect foi detectada em 11 de julho de 2023.
Uma característica notável do worm é sua capacidade de infectar instâncias de Redis vulneráveis, explorando uma vulnerabilidade crítica de fuga de sandbox Lua,
CVE-2022-0543
(pontuação CVSS: 10.0), que foi previamente explorada para entregar várias famílias de malware como Muhstik, Redigo e HeadCrab no último ano.
O acesso inicial proporcionado por uma exploração bem-sucedida é então utilizado para entregar um payload dropper que estabelece comunicação peer-to-peer (P2P) com uma rede P2P maior e busca binários maliciosos adicionais, incluindo software de varredura para propagar o malware para outros hosts Redis e SSH expostos.
"A instância infectada então se junta à rede P2P para fornecer acesso aos outros payloads para futuras instâncias Redis comprometidas", disseram os pesquisadores.
O malware também utiliza um script PowerShell para estabelecer e manter a comunicação entre o host comprometido e a rede P2P, oferecendo aos atores de ameaças acesso persistente.
Além disso, a versão Windows do P2PInfect incorpora um componente Monitor para se autoatualizar e lançar a nova versão.
Não se sabe imediatamente qual é o objetivo final da campanha, com a Unidade 42 observando que não há evidências definitivas de criptojacking, apesar da presença da palavra "miner" no código-fonte do toolkit.
A atividade não foi atribuída a nenhum grupo de atores de ameaças conhecidos por atingir ambientes em nuvem, como Adept Libra (também conhecido como TeamTNT), Aged Libra (também conhecido como Rocke), Automated Libra (também conhecido como PURPLEURCHIN), Money Libra (também conhecido como Kinsing), Returned Libra (também conhecido como 8220 Gang) ou Thief Libra (também conhecido como WatchDog).
O desenvolvimento ocorre à medida que ativos de nuvem mal configurados e vulneráveis são descobertos dentro de minutos por atores mal-intencionados que constantemente escaneiam a internet para lançar ataques sofisticados.
"O worm P2PInfect parece ser bem projetado com várias escolhas modernas de desenvolvimento", disseram os pesquisadores.
"O design e a construção de uma rede P2P para realizar a auto-propagação de malware não é algo comumente visto dentro da direção à nuvem ou da ameaça de criptojacking."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...