P2PInfect: в облачных средах завёлся чрезвычайно опасный червь

P2PInfect: в облачных средах завёлся чрезвычайно опасный червь

Новый вредонос на языке Rust использует критические уязвимости Redis для самораспространения.

image

Эксперты в области кибербезопасности обнаружили новый червь P2PInfect, атакующий Redis-серверы в облаке для последующей эксплуатации существующих уязвимостей.

«Червь P2PInfect взламывает серверы Redis, работающие как на Linux, так и на Windows, что делает его более масштабным и опасным, чем другие черви. Кроме того, этот червь написан на Rust — высокомасштабируемом и облачно-ориентированном языке программирования», — заявили исследователи Palo Alto Networks в недавнем отчёте .

По предварительным оценкам, уязвимыми для этой угрозы могут быть до 934 уникальных систем Redis. Первый известный случай заражения P2PInfect был зафиксирован 11 июля 2023 года.

Характерной особенностью червя является способность инфицировать уязвимые экземпляры Redis путём эксплуатации критической уязвимости «Lua Sandbox Escape» CVE-2022-0543 (оценка CVSS 10,0), которая на протяжении последнего года использовалась для доставки различных вредоносных программ, таких как Muhstik, Redigo и HeadCrab.

Первоначальный доступ, предоставленный успешной эксплуатацией, затем используется для доставки полезной нагрузки дроппера, которая устанавливает одноранговое (P2P) соединение с более крупной P2P-сетью и извлекает дополнительные вредоносные двоичные файлы, включая программное обеспечение для сканирования для распространения вредоносного ПО на другие открытые хосты Redis и SSH.

Вредоносное ПО также использует PowerShell-скрипт для установки и поддержания связи между скомпрометированным хостом и P2P-сетью, предоставляя злоумышленникам постоянный доступ. Более того, версия P2PInfect для Windows включает компонент Monitor для самообновления и запуска новой версии.

Пока неизвестно, в чем заключается конечная цель кампании, хотя в Unit 42 отметили, что нет однозначных доказательств майнинга криптовалюты, несмотря на наличие слова «майнер» в исходном коде инструментария.

Деятельность пока не приписана ни одной из известных групп угроз, широко известных нанесением ударов по облачным средам. Тем временем, неправильно настроенные облачные среды всё чаще подвергаются атакам злоумышленников, тщательно сканирующих Интернет в поисках особо уязвимых экземпляров.

«Червь P2PInfect, похоже, хорошо спроектирован с использованием нескольких современных методов разработки. Создание P2P-сети для автоматического распространения вредоносных программ довольно редко встречается в ландшафте угроз, нацеленных на облако», — заключили исследователи.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!