Se ha observado que el gusano P2PInfect peer-to-peer (P2) emplea métodos de acceso inicial no documentados previamente para violar servidores Redis susceptibles y conectarlos a una red de bots.
«El malware compromete las instancias expuestas del almacén de datos de Redis al explotar la función de replicación», dijeron los investigadores de Cado Security, Nate Bill y Matt Muir , en un informe compartido con The Hacker News.
«Un patrón de ataque común contra Redis en entornos de nube es explotar esta característica utilizando una instancia maliciosa para habilitar la replicación. Esto se logra mediante la conexión a una instancia de Redis expuesta y emitiendo el comando SLAVEOF».
El malware basado en Rust fue documentado por primera vez por la Unidad 42 de Palo Alto Networks, destacando la capacidad del malware para explotar una vulnerabilidad crítica de escape del sandbox de Lua ( CVE-2022-0543 , puntaje CVSS: 10.0) para obtener un punto de apoyo en las instancias de Redis. Se cree que la campaña comenzó el 29 de junio de 2023 o después.
Sin embargo, el último descubrimiento sugiere que los actores de amenazas detrás de la campaña están aprovechando múltiples vulnerabilidades para el acceso inicial.
Esta no es la primera vez que se abusa del comando SLAVEOF en la naturaleza. Anteriormente, los actores de amenazas asociados con familias de malware como H2Miner y HeadCrab han abusado de la técnica de ataque para extraer criptomonedas de forma ilícita en hosts comprometidos.
Al hacerlo, el objetivo es replicar una instancia maliciosa y cargar un módulo malicioso para activar la infección.
Otro vector de acceso inicial implica el registro de un trabajo cron malicioso en el host de Redis para descargar el malware desde un servidor remoto al momento de la ejecución, un método observado anteriormente en los ataques montados por el grupo de cryptojacking WatchDog .
Una brecha exitosa es seguida por la distribución de cargas útiles de la siguiente etapa que permiten que el malware altere las reglas del firewall de iptables a voluntad, se actualice y potencialmente implemente mineros de criptomonedas en una fecha posterior una vez que la red de bots haya crecido a un tamaño específico.
«El malware P2Pinfect utiliza una botnet de igual a igual», dijeron los investigadores. «Cada servidor infectado se trata como un nodo, que luego se conecta a otros servidores infectados. Esto permite que toda la botnet se comunique entre sí sin usar un servidor C2 centralizado».
Un rasgo notable de la red de bots es su comportamiento de gusanos, lo que le permite expandir su alcance mediante el uso de una lista de contraseñas para servidores SSH de fuerza bruta y el intento de explotar la vulnerabilidad de escape de Lua sandbox o usar el comando SLAVEOF en el caso de los servidores Redis.
Actualmente se desconoce la identidad de los actores de amenazas detrás de la campaña y el propósito de P2PInfect sigue sin estar claro, y la Unidad 42 señaló anteriormente que los indicadores no se superponen con ninguno de los grupos de cryptojacking conocidos.
«P2Pinfect está bien diseñado y utiliza técnicas sofisticadas para la replicación y C2», concluyeron los investigadores. «La elección de usar Rust también permite una portabilidad más fácil del código entre plataformas (con los binarios de Windows y Linux compartiendo mucho del mismo código), al mismo tiempo que hace que el análisis estático del código sea significativamente más difícil».
Fuente y redacción: thehackernews.com
