Исследователи зафиксировали новую волну атак пирингового червя P2PInfect: вредонос обзавёлся ранее не описанными способами первичного проникновения в уязвимые серверы Redis, после чего вербует их в свой ботнет.
Как работает атака
По данным специалистов Cado Security Нейта Билла и Мэтта Мьюра, малварь компрометирует открытые в интернет инстансы Redis, злоупотребляя функцией репликации. Классический сценарий атаки на Redis в облачных средах выглядит так: злоумышленник подключается к незащищённому серверу и отдаёт команду SLAVEOF, превращая целевой инстанс в реплику подконтрольного вредоносного сервера. Дальше атакующие реплицируют вредоносный инстанс и подгружают через него зловредный модуль, активирующий заражение.
Технику злоупотребления командой SLAVEOF нельзя назвать новой — её ранее применяли операторы майнинговых семейств H2Miner и HeadCrab для нелегального майнинга криптовалюты на взломанных хостах.
Второй задокументированный вектор — регистрация вредоносного cron-задания на хосте с Redis, которое при выполнении скачивает малварь с удалённого сервера. Этот метод ранее наблюдался в атаках группировки WatchDog, специализирующейся на криптоджекинге.
P2PInfect написан на Rust. Впервые о нём рассказали аналитики Palo Alto Networks Unit 42, обратив внимание на способность вредоноса эксплуатировать критическую уязвимость выхода из песочницы Lua — CVE-2022-0543 с максимальной оценкой CVSS 10.0. Кампания, по оценке исследователей, стартовала не ранее 29 июня 2023 года. Новые находки Cado Security показывают, что операторы кампании используют не один, а сразу несколько эксплойтов для получения первоначального доступа.
Что происходит после взлома
После успешного проникновения на сервер загружаются полезные нагрузки следующего этапа. Они позволяют вредоносу произвольно менять правила файрвола iptables, самообновляться и — как только ботнет разрастётся до определённого размера — разворачивать криптомайнеры.
«Малварь P2PInfect использует пиринговый ботнет, — отметили исследователи. — Каждый заражённый сервер выступает узлом сети и подключается к другим заражённым серверам. Это позволяет всей сети общаться между собой без единого центрального C2-сервера».
Отличительная черта ботнета — червеобразное поведение: он самостоятельно расширяет своё присутствие, перебирая список паролей для брутфорса SSH-серверов, а также пытаясь эксплуатировать уязвимость песочницы Lua или команду SLAVEOF в случае с серверами Redis.
Личность стоящих за кампанией злоумышленников пока не установлена, а истинная цель P2PInfect остаётся неясной: по данным Unit 42, индикаторы кампании не пересекаются ни с одной из известных криптоджекинговых группировок.
«P2PInfect хорошо спроектирован и использует продвинутые техники для репликации и управления через C2, — заключили в Cado Security. — Выбор Rust также обеспечивает лёгкую переносимость кода между платформами: бинарники под Windows и Linux во многом используют один и тот же код, а статический анализ такого кода становится заметно сложнее».
Источник: The Hacker News.