Το botnet P2PInfect worm διανύει μια περίοδο ιδιαίτερα αυξημένου όγκου δραστηριότητας που ξεκινά στα τέλη Αυγούστου και στη συνέχεια αυξάνεται και πάλι τον Σεπτέμβριο του 2023. Το P2PInfect καταγράφηκε για πρώτη φορά από τη Μονάδα 42 τον Ιούλιο του 2023 ως κακόβουλο λογισμικό peer-to-peer που παραβιάζει τις περιπτώσεις Redis χρησιμοποιώντας ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα σε εκτεθειμένα στο διαδίκτυο συστήματα Windows και Linux. Οι ερευνητές της Cado Security, οι οποίοι παρακολουθούν το botnet από τα τέλη Ιουλίου 2023, αναφέρουν σήμερα ότι βλέπουν παγκόσμια δραστηριότητα, με τις περισσότερες παραβιάσεις να επηρεάζουν συστήματα στην Κίνα, τις Ηνωμένες Πολιτείες, τη Γερμανία, τη Σιγκαπούρη, το Χονγκ Κονγκ, το Ηνωμένο Βασίλειο και την Ιαπωνία. Επιπλέον, η Cado αναφέρει ότι τα τελευταία δείγματα του P2PInfect διαθέτουν προσθήκες και βελτιώσεις που το καθιστούν πιο ικανό να εξαπλωθεί σε στόχους και αναδεικνύουν τη συνεχή ανάπτυξη του κακόβουλου λογισμικού.
Απότομη αύξηση της δραστηριότητας
Το Cado βλέπει δραστηριότητα του botnet του P2PInfect, γεγονός που υποδηλώνει ότι το κακόβουλο λογισμικό έχει εισέλθει σε μια νέα περίοδο σταθερότητας του κώδικα που του επιτρέπει να αυξήσει τη λειτουργία του. Οι ερευνητές αναφέρουν ότι παρατηρούν μια σταθερή αύξηση του αριθμού των αρχικών προσπαθειών πρόσβασης που πραγματοποιούνται από το P2PInfect στα honeypots τους, με αποτέλεσμα να φτάσουν τα 4.064 συμβάντα από έναν μόνο αισθητήρα στις 24 Αυγούστου 2023. Μέχρι τις 3 Σεπτεμβρίου 2023, τα συμβάντα αρχικής πρόσβασης είχαν τριπλασιαστεί, αλλά παρέμεναν σχετικά χαμηλά. Στη συνέχεια, την εβδομάδα μεταξύ της 12ης και της 19ης Σεπτεμβρίου 2023, σημειώθηκε μια έξαρση της δραστηριότητας του P2PInfect, με το Cado να καταγράφει 3.619 απόπειρες πρόσβασης μόνο κατά τη διάρκεια αυτής της περιόδου, δηλαδή μια αύξηση 600 φορές.
Νέα χαρακτηριστικά του P2PInfect
Παράλληλα με την αυξημένη δραστηριότητα, η Cado παρατήρησε νέα δείγματα που καθιστούν το P2PInfect μια πιο κρυφή και τρομερή απειλή. Πρώτον, οι δημιουργοί του κακόβουλου λογισμικού έχουν προσθέσει έναν μηχανισμό επιμονής με βάση το cron, ο οποίος αντικαθιστά την προηγούμενη μέθοδο ‘bash_logout’, ενεργοποιώντας το κύριο payload κάθε 30 λεπτά.
Επιπλέον, το P2Pinfect χρησιμοποιεί τώρα ένα (δευτερεύον) ωφέλιμο φορτίο bash για να επικοινωνεί με το κύριο ωφέλιμο φορτίο μέσω μιας τοπικής υποδοχής διακομιστή και αν η κύρια διεργασία σταματήσει ή διαγραφεί, ανακτά ένα αντίγραφο από έναν ομότιμο και το επανεκκινεί. Το κακόβουλο λογισμικό χρησιμοποιεί τώρα επίσης ένα κλειδί SSH για να αντικαταστήσει τυχόν SSH authorized_keys στο παραβιασμένο τελικό σημείο για να εμποδίσει τους νόμιμους χρήστες να συνδεθούν μέσω SSH.
Εάν το κακόβουλο λογισμικό έχει πρόσβαση root, θα πραγματοποιήσει αλλαγή κωδικού πρόσβασης για όλους τους άλλους χρήστες στο σύστημα χρησιμοποιώντας έναν αυτόματα δημιουργούμενο κωδικό πρόσβασης 10 χαρακτήρων για να τους αποκλείσει. Τέλος, το P2PInfect χρησιμοποιεί τώρα μια δομή διαμόρφωσης C για τον πελάτη του που ενημερώνεται δυναμικά στη μνήμη, ενώ προηγουμένως δεν είχε αρχείο διαμόρφωσης.
Ασαφείς στόχοι
Η Cado αναφέρει ότι οι παραλλαγές του P2PInfect που παρατήρησε πρόσφατα επιχείρησαν να αντλήσουν ένα ωφέλιμο φορτίο εξόρυξης, αλλά δεν είδαν πραγματική δραστηριότητα κρυπτοεξόρυξης σε συσκευές που έχουν παραβιαστεί. Ως εκ τούτου, δεν είναι σαφές εάν οι χειριστές κακόβουλου λογισμικού εξακολουθούν να πειραματίζονται με το τελικό βήμα της επίθεσης. Οι χειριστές του botnet μπορεί να βελτιώνουν το συστατικό του miner ή να αναζητούν αγοραστές συνδρομών στο P2PInfect, οπότε χρησιμοποιούν τον miner ως ομοίωμα για επίδειξη. Δεδομένου του μεγέθους του τρέχοντος botnet, της εξάπλωσης, των αυτο-ενημερωτικών χαρακτηριστικών και της γρήγορης επέκτασης αυτό το μήνα, το P2PInfect αποτελεί μια ουσιαστική απειλή που πρέπει να παρακολουθείτε.
Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.
Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.
