ΑρχικήSecurityP2Pinfect: Παραλλαγή του κακόβουλου λογισμικού στοχεύει συσκευές MIPS

P2Pinfect: Παραλλαγή του κακόβουλου λογισμικού στοχεύει συσκευές MIPS

Οι πιο πρόσφατες παραλλαγές του P2Pinfect botnet επικεντρώνονται τώρα στην μόλυνση συσκευών με επεξεργαστές MIPS (Microprocessor without Interlocked Pipelined Stages) 32-bit, όπως δρομολογητές και συσκευές IoT.

Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware

P2Pinfect

Λόγω της αποδοτικότητας και του συμπαγούς σχεδιασμού τους, οι επεξεργαστές MIPS είναι διαδεδομένοι σε ενσωματωμένα συστήματα όπως δρομολογητές, οικιακές πύλες και κονσόλες βιντεοπαιχνιδιών.

Το P2Pinfect ανακαλύφθηκε τον Ιούλιο του 2023 από αναλυτές της Palo Alto Networks (Unit 42) ως ένα νέο worm βασισμένο σε Rust, που επιτίθεται σε ευάλωτους διακομιστές Redis που πλήττονται από το CVE-2022-0543. Μετά τον αρχικό του εντοπισμό, οι αναλυτές ασφαλείας της Cado ανέφεραν ότι το P2Pinfect εκμεταλλεύεται το χαρακτηριστικό αντιγραφής Redis για να διασπείρεται, δημιουργώντας αντίγραφα.

Αργότερα, τον Σεπτέμβριο, η Cado προειδοποίησε για την αυξημένη δραστηριότητα του P2Pinfect botnet που στοχεύει συστήματα στις Ηνωμένες Πολιτείες, τη Γερμανία, το Ηνωμένο Βασίλειο, την Ιαπωνία, τη Σιγκαπούρη, το Χονγκ Κονγκ και την Κίνα.

Σήμερα, η Cado αναφέρει ένα νέο αναπτυξιακό στάδιο που αφορά το botnet, το οποίο σηματοδοτεί μια σημαντική εξέλιξη στο πεδίο στόχευσής του και την ικανότητά του να αποφεύγει την ανίχνευση. Οι πιο πρόσφατες επιθέσεις που παρατηρήθηκαν στα honeypots της Cado αναζητούν διακομιστές SSH που χρησιμοποιούν αδύναμα διαπιστευτήρια και προσπαθούν να μεταφορτώσουν το δυαδικό αρχείο MIPS μέσω SFTP και SCP.

Η διάδοση για την παραλλαγή MIPS δεν περιορίζεται μόνο στο SSH, καθώς οι ερευνητές εντόπισαν προσπάθειες εκτέλεσης του διακομιστή Redis σε συσκευές MIPS μέσω ενός πακέτου OpenWRT με την ονομασία ‘redis-server‘. Κατά την στατική ανάλυση, οι ερευνητές του Cado παρατήρησαν ότι το νέο P2Pinfect είναι ένα 32-bit ELF δυαδικό αρχείο χωρίς πληροφορίες αποσφαλμάτωσης και περιλαμβάνει ένα ενσωματωμένο 64-bit DLL των Windows, το οποίο λειτουργεί ως φορτώσιμη μονάδα για το Redis, για να επιτρέπει την εκτέλεση εντολών κέλυφους στον κεντρικό υπολογιστή.

Δείτε ακόμα: Malware και ransomware εξακολουθούν να αποτελούν τις μεγαλύτερες απειλές στον κυβερνοχώρο

συσκευές MIPS

Η πιο πρόσφατη παραλλαγή του P2Pinfect υλοποιεί περίπλοκους και πολυπρόσωπους μηχανισμούς αποφυγής που δυσχεραίνουν σημαντικά την ανίχνευση και την ανάλυσή του. Η Cado έχει επισημάνει τους ακόλουθους μηχανισμούς αποφυγής που εισήχθησαν στην τελευταία έκδοση του P2Pinfect:

  • Εφαρμογή ενός ελέγχου για την τιμή ‘TracerPid‘ στο αρχείο κατάστασης διεργασίας για να προσδιοριστεί αν τα εργαλεία ανάλυσης παρακολουθούν τη διαδικασία του κακόβουλου λογισμικού και τερματισμός αυτής αν αυτό συμβαίνει.
  • Χρήση συστηματικών κλήσεων για την απενεργοποίηση των αποτυπωμάτων μνήμης που περιέχουν ίχνη της δραστηριότητάς του, αποτρέποντας έτσι την αποθήκευση περιεχομένου μνήμης στον πυρήνα του Linux.
  • Το ενσωματωμένο DLL περιέχει μια συνάρτηση για την αποφυγή εικονικών μηχανών (ΕΜ).

Η συνεχής ανάπτυξη του P2Pinfect και η επέκταση του στόχευσης του κακόβουλου λογισμικού δείχνει υψηλό επίπεδο δεξιοτεχνίας και αποφασιστικότητα από τους δημιουργούς του. Είναι σημαντικό να τονίσουμε ότι παρά την εκτεταμένη παρακολούθηση του botnet μέσω διάφορων εκστρατειών με τον χρόνο, η Cado Security παραμένει αβέβαιη σχετικά με τους ακριβείς στόχους των φορέων του κακόβουλου λογισμικού. Αυτοί οι στόχοι μπορούν να περιλαμβάνουν την εξόρυξη κρυπτονομισμάτων, την εκτέλεση επιθέσεων DDoS, τη διευκόλυνση της προκαταβολής κυκλοφορίας και την εκτέλεση κλοπής δεδομένων.

Δείτε επίσης: Η πιθανή ύπαρξη κινεζικού malware σε συστήματα των ΗΠΑ αποτελεί «ωρολογιακή βόμβα»

Ένα από τα πιο αποτελεσματικά μέτρα προστασίας από το P2PInfect botnet είναι η ενημέρωση και η εγκατάσταση των τελευταίων ενημερώσεων λογισμικού. Οι κατασκευαστές λογισμικού συχνά κυκλοφορούν ενημερώσεις που διορθώνουν γνωστά προβλήματα ασφαλείας. Με την εγκατάσταση αυτών των ενημερώσεων, μπορεί να μειωθεί η ευπάθεια του συστήματος στις επιθέσεις του P2PInfect botnet.

Ένα άλλο αποτελεσματικό μέτρο προστασίας είναι η χρήση ενημερωμένου antivirus λογισμικού. Τα προγράμματα αυτά μπορούν να ανιχνεύσουν και να αφαιρέσουν το κακόβουλο λογισμικό που χρησιμοποιείται από το P2PInfect botnet. Επιλέγοντας ένα αξιόπιστο antivirus λογισμικό και διατηρώντας το ενημερωμένο, μπορεί να επιτευχθεί μια αποτελεσματική προστασία.

Επιπλέον, η εγκατάσταση ενός προσωπικού τείχους προστασίας (firewall) μπορεί να αποτελέσει αποτελεσματικό μέτρο προστασίας. Το προσωπικό τείχος προστασίας μπορεί να ελέγξει και να φιλτράρει την εισερχόμενη και εξερχόμενη κίνηση δεδομένων, περιορίζοντας την πρόσβαση του P2PInfect botnet στο σύστημα.

Τέλος, η εκπαίδευση των χρηστών αποτελεί ένα σημαντικό μέτρο προστασίας. Οι χρήστες πρέπει να είναι ενημερωμένοι για τις απειλές του P2PInfect botnet και να μάθουν πώς να αναγνωρίζουν και να αποφεύγουν τις κακόβουλες δραστηριότητες. Με την εκπαίδευση των χρηστών, μπορεί να επιτευχθεί μια πιο ολοκληρωμένη προστασία από το P2PInfect botnet.

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS