Cybersecurity-onderzoekers hebben een nieuwe variant van een opkomend botnet ontdekt, genaamd P2PInfect dat zich kan richten op routers en IoT-apparaten.
De nieuwste versie, volgens Cado Security Labs, is samengesteld voor microprocessors zonder Interlocked Pipelined Stages (MIPS)-architectuur, waardoor de mogelijkheden en het bereik ervan worden vergroot.
“Het is zeer waarschijnlijk dat de P2PInfect-ontwikkelaars, door zich te richten op MIPS, routers en IoT-apparaten met de malware willen infecteren”, zei beveiligingsonderzoeker Matt Muir in een rapport gedeeld met The Hacker News.
P2PInfect, een op Rust gebaseerde malware, werd voor het eerst onthuld in juli 2023 en richtte zich op niet-gepatchte Redis-instanties door misbruik te maken van een kritieke Lua-sandbox-ontsnappingskwetsbaarheid (CVE-2022-0543, CVSS-score: 10,0) voor initiële toegang.
Uit een daaropvolgende analyse van het cloudbeveiligingsbedrijf in september bleek een toename van de P2PInfect-activiteit, die samenviel met de release van iteratieve varianten van de malware.
De nieuwe artefacten proberen niet alleen SSH-brute-force-aanvallen uit te voeren op apparaten die zijn ingebed met 32-bit MIPS-processors, maar bevatten ook bijgewerkte ontwijkings- en anti-analysetechnieken om onder de radar te blijven.
De brute-force-pogingen tegen SSH-servers die tijdens de scanfase worden geïdentificeerd, worden uitgevoerd met behulp van gemeenschappelijke gebruikersnaam- en wachtwoordparen die aanwezig zijn in het ELF-binaire bestand zelf.
Er wordt vermoed dat zowel SSH- als Redis-servers propagatievectoren zijn voor de MIPS-variant vanwege het feit dat het mogelijk is om een Redis-server op MIPS te draaien met behulp van een OpenWrt-pakket dat bekend staat als redis-server.
Een van de opvallende ontwijkingsmethoden die wordt gebruikt, is een controle om te bepalen of het wordt geanalyseerd en, als dat zo is, zichzelf te beëindigen, evenals een poging om Linux core dumps uit te schakelen, dit zijn bestanden die automatisch door de kernel worden gegenereerd nadat een proces onverwachts crasht.
De MIPS-variant bevat ook een ingebouwde 64-bits Windows DLL-module voor Redis die het uitvoeren van shell-opdrachten op een gecompromitteerd systeem mogelijk maakt.
“Dit is niet alleen een interessante ontwikkeling omdat het een verruiming van de reikwijdte demonstreert voor de ontwikkelaars achter P2PInfect (meer ondersteunde processorarchitecturen staan gelijk aan meer knooppunten in het botnet zelf), maar het MIPS32-voorbeeld bevat enkele opmerkelijke technieken om verdediging te ontwijken”, aldus Cado.
“Dit, gecombineerd met het gebruik van Rust door de malware (wat platformonafhankelijke ontwikkeling bevordert) en de snelle groei van het botnet zelf, versterkt eerdere suggesties dat deze campagne wordt uitgevoerd door een geavanceerde bedreigingsacteur.”
