Червь P2PInfect научился новым способам взлома серверов Redis

Исследователи зафиксировали новую волну атак пирингового червя P2PInfect: вредонос обзавёлся ранее не описанными способами первичного проникновения в уязвимые серверы Redis, после чего вербует их в свой ботнет.

Как работает атака

По данным специалистов Cado Security Нейта Билла и Мэтта Мьюра, малварь компрометирует открытые в интернет инстансы Redis, злоупотребляя функцией репликации. Классический сценарий атаки на Redis в облачных средах выглядит так: злоумышленник подключается к незащищённому серверу и отдаёт команду SLAVEOF, превращая целевой инстанс в реплику подконтрольного вредоносного сервера. Дальше атакующие реплицируют вредоносный инстанс и подгружают через него зловредный модуль, активирующий заражение.

Технику злоупотребления командой SLAVEOF нельзя назвать новой — её ранее применяли операторы майнинговых семейств H2Miner и HeadCrab для нелегального майнинга криптовалюты на взломанных хостах.

Второй задокументированный вектор — регистрация вредоносного cron-задания на хосте с Redis, которое при выполнении скачивает малварь с удалённого сервера. Этот метод ранее наблюдался в атаках группировки WatchDog, специализирующейся на криптоджекинге.

P2PInfect написан на Rust. Впервые о нём рассказали аналитики Palo Alto Networks Unit 42, обратив внимание на способность вредоноса эксплуатировать критическую уязвимость выхода из песочницы Lua — CVE-2022-0543 с максимальной оценкой CVSS 10.0. Кампания, по оценке исследователей, стартовала не ранее 29 июня 2023 года. Новые находки Cado Security показывают, что операторы кампании используют не один, а сразу несколько эксплойтов для получения первоначального доступа.

Что происходит после взлома

После успешного проникновения на сервер загружаются полезные нагрузки следующего этапа. Они позволяют вредоносу произвольно менять правила файрвола iptables, самообновляться и — как только ботнет разрастётся до определённого размера — разворачивать криптомайнеры.

«Малварь P2PInfect использует пиринговый ботнет, — отметили исследователи. — Каждый заражённый сервер выступает узлом сети и подключается к другим заражённым серверам. Это позволяет всей сети общаться между собой без единого центрального C2-сервера».

Отличительная черта ботнета — червеобразное поведение: он самостоятельно расширяет своё присутствие, перебирая список паролей для брутфорса SSH-серверов, а также пытаясь эксплуатировать уязвимость песочницы Lua или команду SLAVEOF в случае с серверами Redis.

Личность стоящих за кампанией злоумышленников пока не установлена, а истинная цель P2PInfect остаётся неясной: по данным Unit 42, индикаторы кампании не пересекаются ни с одной из известных криптоджекинговых группировок.

«P2PInfect хорошо спроектирован и использует продвинутые техники для репликации и управления через C2, — заключили в Cado Security. — Выбор Rust также обеспечивает лёгкую переносимость кода между платформами: бинарники под Windows и Linux во многом используют один и тот же код, а статический анализ такого кода становится заметно сложнее».

Источник: The Hacker News.