Οι πιο πρόσφατες παραλλαγές του P2Pinfect botnet επικεντρώνονται τώρα στην μόλυνση συσκευών με επεξεργαστές MIPS (Microprocessor without Interlocked Pipelined Stages) 32-bit, όπως δρομολογητές και συσκευές IoT.
See also: Malicious Google ads trick Mac users into installing Atomic Stealer malware
Λόγω της αποδοτικότητας και του συμπαγούς σχεδιασμού τους, οι επεξεργαστές MIPS είναι διαδεδομένοι σε ενσωματωμένα systems όπως δρομολογητές, οικιακές πύλες και κονσόλες βιντεοπαιχνιδιών.
Το P2Pinfect ανακαλύφθηκε τον Ιούλιο του 2023 από αναλυτές της Palo Alto Networks (Unit 42) ως ένα νέο worm βασισμένο σε Rust, που επιτίθεται σε ευάλωτους διακομιστές Redis που πλήττονται από το CVE-2022-0543. Μετά τον αρχικό του εντοπισμό, οι αναλυτές ασφαλείας της Cado ανέφεραν ότι το P2Pinfect εκμεταλλεύεται το χαρακτηριστικό αντιγραφής Redis για να διασπείρεται, δημιουργώντας αντίγραφα.
Αργότερα, τον Σεπτέμβριο, η Cado προειδοποίησε για την αυξημένη δραστηριότητα του P2Pinfect botnet που στοχεύει συστήματα στις United States, τη Γερμανία, το Ηνωμένο Βασίλειο, την Ιαπωνία, τη Σιγκαπούρη, το Χονγκ Κονγκ και την China.
Σήμερα, η Cado αναφέρει ένα νέο αναπτυξιακό στάδιο που αφορά το botnet, το οποίο σηματοδοτεί μια σημαντική εξέλιξη στο πεδίο στόχευσής του και την ικανότητά του να αποφεύγει την Detection. Οι πιο πρόσφατες επιθέσεις που παρατηρήθηκαν στα honeypots της Cado αναζητούν διακομιστές SSH που χρησιμοποιούν αδύναμα credentials και προσπαθούν να μεταφορτώσουν το δυαδικό αρχείο MIPS μέσω SFTP and SCP.
Η διάδοση για την παραλλαγή MIPS δεν περιορίζεται μόνο στο SSH, καθώς οι ερευνητές εντόπισαν προσπάθειες εκτέλεσης του διακομιστή Redis σε συσκευές MIPS μέσω ενός πακέτου OpenWRT under the name 'redis-server‘. Κατά την στατική ανάλυση, οι ερευνητές του Cado παρατήρησαν ότι το νέο P2Pinfect είναι ένα 32-bit ELF δυαδικό αρχείο χωρίς πληροφορίες αποσφαλμάτωσης και περιλαμβάνει ένα ενσωματωμένο 64-bit DLL των Windows, το οποίο λειτουργεί ως φορτώσιμη μονάδα για το Redis, για να επιτρέπει την εκτέλεση εντολών κέλυφους στον κεντρικό Computer.
See also: Malware and ransomware continue to be the biggest cyber threats
Η πιο πρόσφατη παραλλαγή του P2Pinfect υλοποιεί περίπλοκους και πολυπρόσωπους μηχανισμούς αποφυγής που δυσχεραίνουν σημαντικά την ανίχνευση και την ανάλυσή του. Η Cado έχει επισημάνει τους ακόλουθους μηχανισμούς αποφυγής που εισήχθησαν στην τελευταία έκδοση του P2Pinfect:
- Εφαρμογή ενός ελέγχου για την τιμή ‘TracerPid‘ στο αρχείο κατάστασης διεργασίας για να προσδιοριστεί αν τα εργαλεία ανάλυσης παρακολουθούν τη διαδικασία του κακόβουλου λογισμικού και τερματισμός αυτής αν αυτό συμβαίνει.
- Χρήση συστηματικών κλήσεων για την απενεργοποίηση των αποτυπωμάτων μνήμης που περιέχουν ίχνη της δραστηριότητάς του, αποτρέποντας έτσι την αποθήκευση περιεχομένου μνήμης στον πυρήνα του Linux.
- Το ενσωματωμένο DLL περιέχει μια συνάρτηση για την αποφυγή εικονικών μηχανών (ΕΜ).
Η συνεχής ανάπτυξη του P2Pinfect και η επέκταση του στόχευσης του κακόβουλου λογισμικού δείχνει υψηλό επίπεδο δεξιοτεχνίας και αποφασιστικότητα από τους δημιουργούς του. Είναι σημαντικό να τονίσουμε ότι παρά την εκτεταμένη παρακολούθηση του botnet μέσω διάφορων εκστρατειών με τον χρόνο, η Cado Security παραμένει αβέβαιη σχετικά με τους ακριβείς στόχους των φορέων του κακόβουλου λογισμικού. Αυτοί οι στόχοι μπορούν να περιλαμβάνουν την εξόρυξη κρυπτονομισμάτων, την εκτέλεση επιθέσεων DDoS, τη διευκόλυνση της προκαταβολής κυκλοφορίας και την εκτέλεση κλοπής δεδομένων.
See also: The possible existence of Chinese malware on US systems is a "time bomb"
Ένα από τα πιο αποτελεσματικά μέτρα προστασίας από το P2PInfect botnet είναι η ενημέρωση και η εγκατάσταση των τελευταίων ενημερώσεων λογισμικού. Οι κατασκευαστές λογισμικού συχνά κυκλοφορούν ενημερώσεις που διορθώνουν γνωστά προβλήματα ασφαλείας. Με την εγκατάσταση αυτών των ενημερώσεων, μπορεί να μειωθεί η vulnerability του συστήματος στις επιθέσεις του P2PInfect botnet.
Ένα άλλο αποτελεσματικό μέτρο προστασίας είναι η χρήση ενημερωμένου antivirus λογισμικού. Τα προγράμματα αυτά μπορούν να ανιχνεύσουν και να αφαιρέσουν το κακόβουλο λογισμικό που χρησιμοποιείται από το P2PInfect botnet. Επιλέγοντας ένα αξιόπιστο antivirus λογισμικό και διατηρώντας το ενημερωμένο, μπορεί να επιτευχθεί μια αποτελεσματική protection.
Επιπλέον, η εγκατάσταση ενός προσωπικού τείχους προστασίας (firewall) μπορεί να αποτελέσει αποτελεσματικό μέτρο προστασίας. Το προσωπικό τείχος προστασίας μπορεί να ελέγξει και να φιλτράρει την εισερχόμενη και εξερχόμενη κίνηση δεδομένων, περιορίζοντας την πρόσβαση του P2PInfect botnet στο σύστημα.
Τέλος, η εκπαίδευση των χρηστών αποτελεί ένα σημαντικό μέτρο προστασίας. Οι χρήστες πρέπει να είναι ενημερωμένοι για τις απειλές του P2PInfect botnet και να μάθουν πώς να αναγνωρίζουν και να αποφεύγουν τις κακόβουλες δραστηριότητες. Με την εκπαίδευση των χρηστών, μπορεί να επιτευχθεί μια πιο ολοκληρωμένη προστασία από το P2PInfect botnet.
Source: bleepingcomputer
