Solucan, CVSSv3 önem ölçeğinde maksimum önem derecesi 10.0 olan Lua Kitaplığındaki bir sanal alan kaçış güvenlik açığından yararlanır.
Güvenlik uzmanları, özellikle popüler açık kaynak veritabanı yazılımı Redis’in örneklerini hedefleyen, Rust’ta yazılmış, son derece gelişmiş eşler arası (P2P) solucan hakkında bir uyarı yayınladı.
‘P2PInfect’ olarak bilinen solucan, Redis örneklerine sızmak için kritik bir güvenlik açığından yararlanır ve bunları daha büyük bir P2P ağına asimile ederek hızla yayılmasını sağlar.
Palo Alto Networks’ün bulut araştırma ekibi Unit 42’den araştırmacılar solucanı belirlediler ve ona kodundaki sızan sembollerde bulunan bir terimin adını verdiler. Solucan istismarları CVE-2022-0543CVSSv3 önem ölçeğinde maksimum önem puanı 10.0 olan ve önemli tehdit potansiyelini gösteren, Lua Kitaplığı’ndaki bir sanal alandan kaçış güvenlik açığı.
P2PInfect, bulut kapsayıcı ortamlarında yerini alarak Redis’i hedef alan kripto hırsızlığı kötü amaçlı yazılımı gibi diğer solucanlardan sıyrılmasını sağlar. Adept Libra (aka TeamTnT) tarafından işletilmektedirHırsız Terazi (namı diğer WatchDog).
Solucan, bir Redis örneğinin içine girdikten sonra, yerel güvenlik duvarı ayarlarını değiştiren bir Powershell komut dosyası çalıştırarak, virüslü Redis örneğine meşru sahipler tarafından erişilmesini engellerken solucan operatörlerine sınırsız erişim sağlar.
Solucanın gelişmiş kalıcılık tekniklerinden biri, kullanıcının AppData dizini içindeki Temp klasöründe depolanan ‘Monitor’ adlı bir işlemi içerir. Bu işlem, şifrelenmiş bir yapılandırma dosyasının yanı sıra birden çok rastgele adlandırılmış P2PInfect yürütülebilir dosyasını indirerek, virüs bulaşmış sistemlerde uzun vadeli varlığını garanti eder.
Araştırmacılar, solucanın 60100 numaralı bağlantı noktası üzerinden büyük bir komuta ve kontrol (C2) botnet’ine bir P2P bağlantısı kurduğunu gözlemlediler. C2’den indirilen örnekler ‘miner’ ve ‘winminer’ etiketli dosyaları içeriyor olsa da, henüz P2PInfect’in virüslü örnekleri kullanarak kripto madenciliği yaptığına dair bir kanıt yok.
Uzmanlar, solucanın potansiyel olarak botnet kullanan madencilik faaliyetlerini içeren gelecekteki kampanyalar için zemin hazırladığını düşünüyor.
Ünite 42’ye göre Blog yazısı, şirket, genel bulut tehditlerini çekmek ve analiz etmek için tasarlanmış çeşitli bal küpleri dizisi olan HoneyCloud platformunu kullanarak 11 Temmuz’da P2PInfect’i keşfetti. Solucanın hızlı yayıldığı kaydedildi ve halka açık iletişim kuran 307.000 Redis örneğinden 934’ü savunmasız olarak tanımlandı.
Rust programlama dilinin P2PInfect tarafından benzersiz bir şekilde kullanılması, birçok fidye yazılımı grubunun da sahip olduğu gibi, siber güvenlik uzmanları arasında endişelere yol açıyor. Rust’a kaydırıldı daha hızlı şifreleme ve yaygın algılama yöntemlerinden kaçınma gibi avantajlar nedeniyle.
Tehdit ortamı gelişmeye devam ettikçe, araştırmacılar solucanın davranışını yakından izliyorlar, buna gelecekte P2PInfect’e yeni davranış ve özelliklerin eklenmesi olasılığı da dahil.
Rust, kötü amaçlı yazılımlarda kullanımının ötesinde çok sayıda avantaj sunarken, P2PInfect gibi gelişmiş solucanlarda benimsenmesi, sürekli gelişen siber tehditler karşısında sürekli teyakkuz ve proaktif güvenlik önlemlerinin önemini vurgulamaktadır. Kuruluşlar ve bireyler, Redis örneklerini güncellemeye ve potansiyel saldırılara karşı korunmak için sağlam siber güvenlik uygulamaları uygulamaya teşvik edilir.
Bu keşfin ardından, siber güvenlik topluluğu, kritik sistemleri ve verileri P2PInfect ve diğer gelişmiş kötü amaçlı yazılım türleri gibi yeni ortaya çıkan tehditlere karşı koruma konusunda tetikte ve proaktif kalmalıdır.
ALAKALI HABERLER
- İzlenecek En İyi 10 Uygulama Güvenliği Uygulaması
- Tedarik Zinciri Saldırısında Binlerce GitHub Deposu Klonlandı
- VirusTotal Data Leak, Intel Ajanslarının Verileri Dahil Kullanıcı Bilgilerini Açığa Çıkarıyor
- Monero madenciliği için Bitbucket ve Docker Hub’ı ele geçiren tehdit aktörleri
- Yanlış Yapılandırılmış Docker API’leri için LemonDuck Cryptomining Botnet Avcılığı