Er is ontdekt dat het peer-to-peer-malwarebotnet, bekend als P2PInfect, zich richt op verkeerd geconfigureerde Redis-servers met ransomware en cryptocurrency-miners.
De ontwikkeling markeert de overgang van de dreiging van een ogenschijnlijk sluimerend botnet met onduidelijke motieven naar een financieel gemotiveerde operatie.
“Met de nieuwste updates voor de cryptominer, ransomware-payload en rootkit-elementen demonstreert het de voortdurende inspanningen van de malware-auteur om te profiteren van hun illegale toegang en het netwerk verder te verspreiden, terwijl het over het internet blijft wormen”, aldus Cado Security. een rapport dat deze week werd gepubliceerd.
P2PInfect kwam bijna een jaar geleden aan het licht en heeft sindsdien updates ontvangen om zich te richten op MIPS- en ARM-architecturen. Eerder deze januari ontdekte Nozomi Networks het gebruik van de malware om mijnwerkersladingen te leveren.
Het verspreidt zich doorgaans door zich te richten op Redis-servers en de replicatiefunctie ervan om de slachtoffersystemen te transformeren in een volgknooppunt van de door de aanvaller gecontroleerde server, waardoor deze vervolgens willekeurige opdrachten aan hen kan geven.
De op Rust gebaseerde worm biedt ook de mogelijkheid om het internet te scannen op kwetsbaardere servers, om nog maar te zwijgen van de integratie van een SSH-wachtwoordspuitmodule die probeert in te loggen met gewone wachtwoorden.
Naast het ondernemen van stappen om te voorkomen dat andere aanvallers zich op dezelfde server richten, is het bekend dat P2PInfect de wachtwoorden van andere gebruikers verandert, de SSH-service opnieuw opstart met root-rechten en zelfs privilege-escalatie uitvoert.
“Zoals de naam al doet vermoeden, is het een peer-to-peer-botnet, waarbij elke geïnfecteerde machine fungeert als een knooppunt in het netwerk en een verbinding onderhoudt met verschillende andere knooppunten”, aldus beveiligingsonderzoeker Nate Bill.
“Dit resulteert erin dat het botnet een enorm mesh-netwerk vormt, waar de malware-auteur gebruik van maakt om bijgewerkte binaire bestanden over het netwerk te verspreiden, via een roddelmechanisme. De auteur hoeft alleen maar één collega op de hoogte te stellen, en deze zal al zijn collega’s informeren en enzovoort totdat het nieuwe binaire bestand volledig over het netwerk is verspreid.”
Tot de nieuwe gedragsveranderingen bij P2PInfect behoort onder meer het gebruik van de malware om miner- en ransomware-payloads te droppen, waarvan de laatste is ontworpen om bestanden te versleutelen die overeenkomen met bepaalde bestandsextensies en een losgeldbriefje af te leveren waarin de slachtoffers worden aangespoord om 1 XMR (~$165) te betalen.
“Aangezien dit een ongerichte en opportunistische aanval is, is het waarschijnlijk dat de slachtoffers van lage waarde zijn, dus een lage prijs is te verwachten,” merkte Bill op.
Ook opmerkelijk is een nieuwe rootkit in de gebruikersmodus die gebruik maakt van de omgevingsvariabele LD_PRELOAD om hun kwaadaardige processen en bestanden te verbergen voor beveiligingstools, een techniek die ook wordt overgenomen door andere cryptojacking-groepen zoals TeamTNT.
Het vermoeden bestaat dat P2PInfect wordt geadverteerd als een dienst voor het huren van botnets, die fungeert als kanaal om de lading van andere aanvallers in te zetten in ruil voor betaling.
Deze theorie wordt ondersteund door het feit dat de portemonnee-adressen voor de miner en ransomware verschillend zijn, en dat het miner-proces is geconfigureerd om zoveel mogelijk verwerkingskracht in beslag te nemen, waardoor het de werking van de ransomware verstoort.
“De keuze voor een ransomware-payload voor malware die zich primair richt op een server die kortstondige gegevens in het geheugen opslaat, is vreemd, en P2Pinfect zal waarschijnlijk veel meer winst uit hun miner halen dan hun ransomware vanwege het beperkte aantal bestanden met een lage waarde. toegang heeft vanwege het toestemmingsniveau”, zei Bill.
“De introductie van de usermode rootkit is op papier een ‘goede’ toevoeging aan de malware. Als de initiële toegang Redis is, zal de usermode rootkit ook volledig ineffectief zijn, omdat deze alleen de preload voor het Redis-serviceaccount kan toevoegen, wat andere gebruikers doen. zal waarschijnlijk niet inloggen als.”
De onthulling volgt op de onthullingen van het AhnLab Security Intelligence Center (ASEC) dat kwetsbare webservers met niet-gepatchte fouten of slecht beveiligd het doelwit zijn van vermoedelijke Chineessprekende bedreigingsactoren om cryptominers in te zetten.
“Controle op afstand wordt vergemakkelijkt door geïnstalleerde webshells en NetCat, en gezien de installatie van proxytools gericht op RDP-toegang, is data-exfiltratie door de bedreigingsactoren een duidelijke mogelijkheid”, zei ASEC, waarbij hij het gebruik van Behinder, China Chopper, Godzilla, BadPotato, cpolar en RingQ.
Het komt ook omdat Fortinet FortiGuard Labs erop wees dat botnets zoals UNSTABLE, Condi en Skibidi legitieme exploitanten van cloudopslag en computerdiensten misbruiken om malware-payloads en updates naar een breed scala aan apparaten te verspreiden.
“Het gebruik van cloudservers voor (command-and-control) operaties zorgt voor aanhoudende communicatie met gecompromitteerde apparaten, waardoor het voor verdedigers moeilijker wordt om een aanval te onderbreken”, aldus beveiligingsonderzoekers Cara Lin en Vincent Li.
