Το P2PInfect botnet worm βιώνει μια περίοδο υψηλής δραστηριότητας από τον Αύγουστο και συνεχίζει με ακόμα μεγαλύτερη ένταση τον Σεπτέμβριο του 2023.
Το P2PInfect καταγράφηκε για πρώτη φορά από την Unit 42 τον Ιούλιο του 2023 ως κακόβουλο λογισμικό peer-to-peer που παραβιάζει Redis instances χρησιμοποιώντας μια αδυναμία εκτέλεσης απομακρυσμένου κώδικα σε συστήματα Windows και Linux που είναι προσβάσιμα στο διαδίκτυο.
Οι ερευνητές ασφάλειας της Cado, οι οποίοι παρακολουθούν το botnet από τον Ιούλιο του 2023, αναφέρουν σήμερα παγκόσμια δραστηριότητα, με τις περισσότερες παραβιάσεις να επηρεάζουν συστήματα στην Κίνα, τις Ηνωμένες Πολιτείες, τη Γερμανία, τη Σιγκαπούρη, το Χονγκ Κονγκ, το Ηνωμένο Βασίλειο και την Ιαπωνία.
Επιπλέον, σύμφωνα με τον Cado, οι πιο πρόσφατες δείγματα P2PInfect περιλαμβάνουν προσθήκες και βελτιώσεις που το καθιστούν πιο ικανό να εξαπλωθεί σε στόχους και επιδεικνύουν την συνεχή ανάπτυξη του κακόβουλου λογισμικού.
Αστραπιαία αύξηση της δραστηριότητας
Η Cado ερευνά την δραστηριότητα του botnet P2PInfect, υποδεικνύοντας ότι ο κακόβουλος κώδικας έχει εισέλθει σε μια νέα περίοδο σταθερότητας που του επιτρέπει να ενισχύσει τη λειτουργία του.
Οι ερευνητές αναφέρουν ότι παρατηρούν μια σταθερή αύξηση στον αριθμό των αρχικών προσπαθειών πρόσβασης που πραγματοποιεί το P2PInfect στα honeypots τους, οδηγώντας σε 4.064 περιστατικά από έναν μόνο αισθητήρα μέχρι τις 24 Αυγούστου 2023.
Μέχρι τις 3 Σεπτεμβρίου 2023, οι αρχικές εκδηλώσεις πρόσβασης είχαν τριπλασιαστεί, αλλά παρέμειναν σχετικά χαμηλές.
Στη συνέχεια, την εβδομάδα μεταξύ της 12ης και της 19ης Σεπτεμβρίου 2023, σημειώθηκε μια αύξηση της δραστηριότητας P2PInfect, με την Cado να καταγράφει μόνο κατά την περίοδο αυτή 3.619 προσπάθειες πρόσβασης, παρουσιάζοντας αύξηση 600 φορές.
Νέες λειτουργίες P2PInfect
Παράλληλα με την αυξημένη δραστηριότητα, η Cado παρατήρησε νέα δείγματα που καθιστούν το P2PInfect ένα πιο αόρατο και επικίνδυνο απειλητικό παράγοντα.
Αρχικά, οι δημιουργοί του malware έχουν προσθέσει ένα μηχανισμό διατήρησης βασισμένο στο cron που αντικαθιστά την προηγούμενη μέθοδο ‘bash_logout’, ενεργοποιώντας τα κύρια φορτία κάθε 30 λεπτά.
Επιπλέον, το P2Pinfect χρησιμοποιεί τώρα ένα (δευτερεύον) bash payload για να επικοινωνήσει με το κύριο payload μέσω ενός τοπικού server socket και, εάν η κύρια διεργασία σταματήσει ή διαγραφεί, ανακτά ένα αντίγραφο από έναν χρήστη και την επανεκκινεί.
Το malware χρησιμοποιεί τώρα επίσης ένα κλειδί SSH για να αντικαταστήσει τυχόν SSH authorized_keys στο παραβιασμένο endpoint για να αποτρέψει τη σύνδεση νόμιμων χρηστών μέσω SSH.
Εάν το κακόβουλο λογισμικό έχει πρόσβαση root, θα πραγματοποιήσει αλλαγή κωδικού πρόσβασης για οποιονδήποτε άλλο χρήστη στο σύστημα, χρησιμοποιώντας έναν αυτόματα δημιουργημένο κωδικό 10 χαρακτήρων για να τους αποκλείσει.
Το P2PInfect πλέον χρησιμοποιεί μια δομή C για τη διαμόρφωση του client του, η οποία ενημερώνεται δυναμικά στη μνήμη, ενώ προηγουμένως δεν διέθετε αρχείο διαμόρφωσης.
Ασαφής στόχοι
Σύμφωνα με την αναφορά της Cado, οι παραλλαγές P2PInfect που παρατηρήθηκαν πρόσφατα προσπάθησαν να ανακτήσουν ένα miner payload, αλλά δεν παρατηρήθηκε πραγματική εξορυκτική δραστηριότητα στις παραβιασμένες συσκευές. Επομένως, δεν είναι σαφές αν οι υπεύθυνοι για το κακόβουλο λογισμικό εξακολουθούν να πειραματίζονται με το τελικό βήμα της επίθεσης.
Οι υπεύθυνοι του botnet ίσως αναβαθμίζουν τον miner component ή αναζητούν αγοραστές συνδρομών για το P2PInfect, ώστε να χρησιμοποιούν τον εξορυκτή ως προσωρινή λύση για επίδειξη.
Λαμβάνοντας υπόψη το τρέχον μέγεθος, τη διάδοση, τα αυτόματα χαρακτηριστικά ενημέρωσης και τη γρήγορη επέκτασή του αυτό το μήνα, το P2PInfect αποτελεί σημαντική απειλή που πρέπει να παρακολουθούμε προσεκτικά.
Πηγή πληροφοριών: bleepingcomputer.com
