Использование архитектуры MIPS открывает хакерам новые пути для массовых атак.
Исследователи безопасности обнаружили в киберпространстве новую вариацию ботнета P2PInfect. По данным лаборатории Cado Security, эта версия ботнета разработана специально для архитектуры MIPS, что даёт ей возможность атаковать роутеры и устройства Интернета вещей (IoT), такие как умные чайники, кофеварки, IP-камеры и т.п. Это резко расширяет возможности и сферу воздействия ботнета.
Впервые P2PInfect, основанный на языке программирования Rust, был обнаружен в июле этого года. Он атакует незащищённые экземпляры Redis, эксплуатируя критическую уязвимость языка Lua ( CVE-2022-0543 , оценка CVSS 10.0) для первоначального доступа.
Дальнейший анализ показал значительный рост активности P2PInfect в сентябре , что совпало с выпуском новых версий вредоносного ПО. Эти новые версии, помимо попыток провести атаки методом подбора паролей через SSH на устройствах с 32-битными процессорами MIPS, включают усовершенствованные методы уклонения и затруднения анализа. Попытки взлома SSH-серверов были осуществлены с использованием распространённых пар логинов и паролей, встроенных в двоичный файл ELF.
Предполагается, что серверы SSH и Redis являются основными векторами распространения новой вариации P2PInfect, поскольку на MIPS можно запустить сервер Redis с помощью OpenWRT-пакета «redis-server» .
Одним из методов уклонения новой вариации ботнета является самоуничтожение и попытка отключения дампов ядра Linux, в случае обнаружения или прерывания основного процесса вредоноса.
Вариация MIPS также включает в себя встроенный 64-битный Windows-модуль DLL для Redis, позволяющий выполнять команды оболочки на скомпрометированной системе.
В Cado Security подчёркивают: «Это интересная разработка не только в том смысле, что она демонстрирует расширение возможностей разработчиков, стоящих за P2PInfect, но и в том, что образец MIPS32 включает в себя некоторые заметные методы уклонения от защиты».
«В сочетании с использованием Rust и быстрыми темпами роста самого ботнета, предыдущие предположения о том, что эта кампания проводится весьма изощренным субъектом угрозы, лишь подтверждаются», — подытожили исследователи.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках