Siber güvenlik araştırmacıları, yeni bir bulut hedefleme, eşler arası (P2P) solucanı ortaya çıkardı. P2PInfect devam eden istismar için savunmasız Redis örneklerini hedefleyen.
Palo Alto Networks Unit 42 araştırmacıları William Gamazo ve Nathaniel Quist, “P2PInfect, hem Linux hem de Windows İşletim Sistemlerinde çalışan Redis sunucularından yararlanarak onu diğer solucanlardan daha ölçeklenebilir ve güçlü hale getiriyor” dedi. “Bu solucan aynı zamanda oldukça ölçeklenebilir ve bulut dostu bir programlama dili olan Rust’ta yazılmıştır.”
934 kadar benzersiz Redis sisteminin tehdide açık olabileceği tahmin ediliyor. P2PInfect’in bilinen ilk örneği 11 Temmuz 2023’te tespit edildi.
Solucanın dikkate değer bir özelliği, geçtiğimiz yıl içinde Muhstik, Redigo ve HeadCrab gibi birden çok kötü amaçlı yazılım ailesini dağıtmak için daha önce istismar edilen kritik bir Lua sanal alan kaçış güvenlik açığı CVE-2022-0543’ü (CVSS puanı: 10.0) kullanarak savunmasız Redis örneklerine bulaşma yeteneğidir.
Başarılı bir kötüye kullanmanın sağladığı ilk erişim, daha sonra, daha büyük bir P2P ağına eşler arası (P2P) iletişim kuran ve kötü amaçlı yazılımı diğer açığa çıkmış Redis ve SSH ana bilgisayarlarına yaymak için tarama yazılımı da dahil olmak üzere ek kötü amaçlı ikili dosyalar getiren bir damlalık yükü sağlamak için kullanılır.
Araştırmacılar, “Virüs bulaşmış örnek daha sonra, güvenliği ihlal edilmiş gelecekteki Redis örneklerine yönelik diğer yüklere erişim sağlamak için P2P ağına katılır” dedi.
Kötü amaçlı yazılım ayrıca, güvenliği ihlal edilmiş ana bilgisayar ile P2P ağı arasında iletişim kurmak ve sürdürmek için bir PowerShell komut dosyası kullanır ve tehdit aktörlerine kalıcı erişim sunar. Dahası, P2PInfect’in Windows sürümü, kendini güncellemek ve yeni sürümü başlatmak için bir Monitör bileşeni içerir.
Unit 42, araç setinin kaynak kodunda “madenci” kelimesinin bulunmasına rağmen kripto hırsızlığına dair kesin bir kanıt olmadığını belirterek, kampanyanın nihai hedefinin ne olduğu hemen bilinmiyor.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Faaliyet, Adept Libra (aka TeamTNT), Aged Libra (aka Rocke), Automated Libra (namı diğer PURPLEURCHIN), Money Libra (aka Kinsing), Returned Libra (aka 8220 Gang) veya Thief Libra (namı diğer WatchDog) gibi çarpıcı bulut ortamlarıyla ünlü bilinen herhangi bir tehdit aktörü grubuna atfedilmedi.
Geliştirme, yanlış yapılandırılmış ve savunmasız bulut varlıklarının, karmaşık saldırılar düzenlemek için sürekli olarak interneti tarayan kötü aktörler tarafından dakikalar içinde keşfedilmesiyle ortaya çıkıyor.
Araştırmacılar, “P2PInfect solucanı, birkaç modern geliştirme seçeneğiyle iyi tasarlanmış gibi görünüyor” dedi. “Kötü amaçlı yazılımın otomatik olarak yayılmasını gerçekleştirmek için bir P2P ağının tasarımı ve inşası, bulut hedefleme veya cryptojacking tehdit ortamında yaygın olarak görülen bir şey değildir.”