Botnet P2PInfect abusa de Redis vulnerables para minar criptomonedas

Se ha observado que el gusano P2PInfect Peer-to-Peer (P2) emplea métodos de
acceso inicial no documentados previamente para violar servidores Redis
susceptibles y conectarlos a una red de bots.

“El malware compromete las instancias expuestas del almacén de datos de
Redis al explotar la función de replicación”,
dijeron los investigadores de Cado Security, Nate Bill y Matt Muir, en un informe compartido con The Hacker News.

“Un patrón de ataque común contra Redis en entornos de nube es explotar
esta característica utilizando una instancia maliciosa para habilitar la
replicación. Esto se logra mediante la conexión a una instancia de Redis
expuesta y emitiendo el comando SLAVEOF”.

El malware basado en Rust
fue documentado por primera vez por Unit42 de Palo Alto Networks, destacando la capacidad del malware para
explotar una vulnerabilidad crítica de escape del sandbox de LUA (CVE-2022-0543, puntaje CVSS: 10.0) para obtener un punto de apoyo en las instancias de
Redis. Se cree que la campaña comenzó el 29 de junio de 2023 o después.

Sin embargo, el último descubrimiento sugiere que los actores de amenazas
detrás de la campaña están aprovechando múltiples vulnerabilidades para el
acceso inicial. Esta no es la primera vez que se abusa del
comando SLAVEOF
en la naturaleza. Anteriormente,
en 2018
los actores de amenazas asociados con familias de malware como
H2Miner
y
HeadCrab
han abusado de la técnica de ataque para extraer criptomonedas de forma
ilícita en hosts comprometidos. Al hacerlo, el objetivo es replicar una
instancia maliciosa y cargar un módulo malicioso para activar la infección.

Otro vector de acceso inicial implica el registro de un cron malicioso en el
host de Redis para descargar el malware desde un servidor remoto al momento de
la ejecución, un método observado previamente en los ataques montados por el
grupo de cryptojacking WatchDog.

Una brecha exitosa es seguida por la distribución de cargas útiles de la
siguiente etapa que permiten que el malware
altere las reglas del firewall de iptables a voluntad, se actualice y potencialmente implemente mineros de criptomonedas en una
fecha posterior una vez que la red de bots haya crecido a un tamaño
específico.

“El malware P2Pinfect utiliza una botnet P2P. Cada servidor infectado se
trata como un nodo, que luego se conecta a otros servidores infectados. Esto
permite que toda la botnet se comunique entre sí sin usar un servidor C2
centralizado”.

Un rasgo notable de la red de bots es su comportamiento de gusanos, lo que le
permite expandir su alcance mediante el uso de una lista de contraseñas para
ataque de fuerza bruta a servidores SSH y el intento de explotar la
vulnerabilidad de escape de LUA sandbox o usar el comando SLAVEOF en el caso
de los servidores Redis.

Actualmente se desconoce la identidad de los actores de amenazas detrás de la
campaña y el propósito de P2PInfect sigue sin estar claro, y Unit42 señaló
anteriormente que los indicadores no se superponen con ninguno de los grupos
de cryptojacking conocidos.

“P2Pinfect está bien diseñado y utiliza técnicas sofisticadas para la
replicación y C2. La elección de usar Rust también permite una portabilidad
más fácil del código entre plataformas (con los binarios de Windows y Linux
compartiendo mucho del mismo código), al mismo tiempo que hace que el análisis
estático del código sea significativamente más difícil”, concluyeron los
investigadores.

Fuente:
THN

Publicaciones

Publicaciones