Οι hackers στοχεύουν ενεργά σε εκτεθειμένες instances του SSH και του Redis open-source data store με ένα peer-to-peer αυτοαναπαραγόμενο worm με εκδόσεις τόσο για Windows όσο και για Linux που οι συγγραφείς κακόβουλου λογισμικού ονόμασαν P2Pinfect.
Δείτε επίσης: Το νέο malware τύπου worm P2PInfect στοχεύει Linux και Windows Redis servers
Γραμμένο σε Rust, το κακόβουλο λογισμικό βασίζεται σε τουλάχιστον δύο μεθόδους για να εδραιωθεί: μια κρίσιμη ευπάθεια που αποκαλύφθηκε και επιδιορθώθηκε πέρυσι και μια λειτουργία που επιτρέπει την αντιγραφή της κύριας βάσης δεδομένων για υψηλή διαθεσιμότητα και για την αντιμετώπιση σεναρίων αποτυχίας.
Εκμετάλλευση της δυνατότητας αντιγραφής του Redis
Το P2PInfect καταγράφηκε αρχικά από ερευνητές της Μονάδας 42 της Palo Alto Networks, οι οποίοι διαπίστωσαν ότι εκμεταλλευόταν την ευπάθεια μέγιστης σοβαρότητας που εντοπίζεται ως CVE-2022-0543.
Το πρόβλημα ασφαλείας είναι μια ευπάθεια ειδικά για το Debian που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα. Αφού παραβιάσει έναν ευάλωτο server Redis, το P2PInfect κατεβάζει νέα σενάρια και κακόβουλα δυαδικά προγράμματα και προσθέτει τον server στο δίκτυο των μολυσμένων συστημάτων του.
Οι ερευνητές βρήκαν ένα δείγμα του P2PInfect με συμβατότητα πολλαπλών πλατφορμών μεταξύ Windows και Linux. Το δείγμα εκμεταλλευόταν τη λειτουργία αντιγραφής του Redis, η οποία αποτελεί κοινό μοτίβο επίθεσης κατά του Redis σε περιβάλλοντα cloud. Ένας δράστης μπορεί να συνδεθεί σε μια εκτεθειμένη Redis instance και να εκδώσει μια συγκεκριμένη εντολή για να ενεργοποιήσει την αντιγραφή.
Προετοιμασία για αφομοίωση botnet
Το malware P2PInfect, είναι σε θέση να παραβιάσει έναν ευάλωτο server Redis και να τον προσθέσει στο δίκτυο των μολυσμένων συστημάτων του.
Μόλις μολυνθεί, το κακόβουλο λογισμικό ενημερώνει τις ρυθμίσεις SSH του server και προσθέτει ένα κλειδί SSH για να επιτρέψει στον δράστη να συνδεθεί. Στη συνέχεια εκτελείται ένα σενάριο που ελέγχει για συγκεκριμένα βοηθητικά προγράμματα και τα εγκαθιστά εάν δεν υπάρχουν.
Το σενάριο μετονομάζει επίσης τα δυαδικά προγράμματα wget και curl, προσθέτει κανόνες iptables για τον έλεγχο της κυκλοφορίας στον server Redis και εγκαθιστά τη διατήρηση στον μολυσμένο υπολογιστή. Το δίκτυο των μολυσμένων servers λειτουργεί ως botnet peer-to-peer, επιτρέποντάς του να λαμβάνει οδηγίες χωρίς την ανάγκη ενός κεντρικού server εντολών και ελέγχου.
Πρόταση: Το Decoy Dog malware toolkit αποκτά νέα χαρακτηριστικά
Εύρεση ευάλωτων servers
Το P2PInfect μολύνει περισσότερους υπολογιστές ελέγχοντας το ιστορικό bash για διαθέσιμες IP, χρήστες και κλειδιά SSH. Σαρώνει για εκτεθειμένους servers SSH και Redis και αποκτά πρόσβαση σε αδύναμα προστατευμένους hosts χρησιμοποιώντας μια λίστα κωδικών πρόσβασης για προσπάθειες brute-force. Με τους servers της Redis, θα προσπαθήσει να εκμεταλλευτεί ευπάθειες ή τη λειτουργία αντιγραφής για να φορτώσει κακόβουλες λειτουργίες. Υπάρχουν πάνω από 307.000 Redis instances που είναι προσβάσιμες μέσω του διαδικτύου και το P2PInfect είναι πιθανό να τις ελέγξει για αδυναμίες ή ευπάθειες.
Ο σκοπός του P2PInfect παραμένει ασαφής, αλλά μια πιθανή ένδειξη είναι η παρουσία ενός δυαδικού αρχείου που ονομάζεται “miner”, το οποίο θα μπορούσε να παραπέμπει σε δραστηριότητα εξόρυξης κρυπτονομισμάτων.
Ωστόσο, η Cado Security παρατήρησε ότι το αρχείο εκτελέστηκε και στη συνέχεια διαγράφηκε, αλλά δεν υπήρχαν ενδείξεις cryptomining. Αντ’ αυτού, συνέχισε να κάνει την κλήση sleep syscall, η οποία δεν κάνει τίποτα.
Αυτό μπορεί να είναι μόνο το αρχικό στάδιο της εκστρατείας και πρόσθετες λειτουργίες, ενδεχομένως cryptomining, θα προστεθούν αφού παραβιαστεί επαρκής αριθμός περιπτώσεων Redis.
Διαβάστε επίσης: Το Android malware CherryBlos κλέβει password χρησιμοποιώντας OCR
πηγή πληροφοριών:bleepingcomputer.com