Исследователи Palo Alto Networks Unit 42 обнаружили нового одн | SecAtor

Исследователи Palo Alto Networks Unit 42 обнаружили нового однорангового (P2P) червя под названием P2PInfect, нацеленного на уязвимые серверы Redis для последующей эксплуатации.

Написанный на Rust P2PInfect использует серверы Redis, работающие как в ОС Linux, так и в Windows, что делает его более масштабируемым и более мощным, нежели другие черви.

По оценкам, до 934 уникальных систем Redis могут быть уязвимы для этой угрозы. Первый известный экземпляр P2PInfect был обнаружен 11 июля 2023 года.

Примечательной характеристикой червя является его способность заражать уязвимые экземпляры Redis, используя критическую уязвимость для выхода из песочницы Lua.

CVE-2022-0543 имеет оценку CVSS: 10,0 и ранее использовалась для доставки нескольких семейств вредоносных ПО, включая Muhstik, Redigo и HeadCrab, за последний год.

Первоначальный доступ после успешной эксплуатацией используется для доставки полезной нагрузки - дроппера, которая устанавливает P2P-связь с более крупной сетью и извлекает дополнительные вредоносные двоичные файлы, включая ПО для сканирования и распространения на другие открытые хосты Redis и SSH.

Зараженный экземпляр затем присоединяется к сети P2P, чтобы обеспечить доступ к другим полезным нагрузкам для будущих скомпрометированных экземпляров Redis.

Вредоносное ПО также использует сценарий PowerShell для установления и поддержания связи между скомпрометированным хостом и P2P-сетью, предлагая злоумышленникам постоянный доступ.

Более того, вариант P2PInfect для Windows включает в себя компонент Monitor для самостоятельного обновления и запуска новой версии.

Неизвестно, какова конечная цель кампании, поскольку Unit 42 отмечает, что нет четких доказательств криптоджекинга, несмотря на наличие упоминания майнера в исходном коде набора инструментов.

Но, как говорится, еще вечер.