Yakın zamanda yaşanan endişe verici olaylar zincirinde, pas tabanlı bir kötü amaçlı yazılım olan P2Pinfect, fidye yazılımı ve kripto madenciliği yeteneklerini birleştirerek hareketsiz bir tehditten tehlikeli bir düşmana dönüştü.
Bu endişe verici dönüşüm, Cado Security tarafından izlendi ve belgelendi; bu, dünya çapındaki Redis sunucularına yönelik artan tehdidin altını çiziyor.
Uykudan Tehlikeye
İlk olarak Temmuz 2023’te keşfedildiP2Pinfect öncelikle Redis’in çoğaltma özellikleri ve temel bir SSH şifre püskürtücüsü aracılığıyla yayılır. Yaygın varlığına rağmen çoğunlukla hareketsiz kaldı ve açık bir kötü niyet göstermedi. Tüm bunlar, Aralık 2023’te, yönlendiricilerdeki ve IoT cihazlarındaki 32 bit MIPS işlemcileri hedef alan yeni bir varyantın bulunmasıyla değişti; bu, kötü amaçlı yazılımın operasyonel stratejisinde bir değişikliğe işaret ediyordu.
Son gelişmeler
Cado Güvenlik’in açıklamasına göre Mayıs 2024 ortasından itibaren Blog yazısıP2Pinfect, aktif bir kripto madencinin yanı sıra fidye yazılımı yükünü de dağıtmaya başladı. Bulaşma üzerine fidye yazılımı, veritabanları, belgeler ve medyayla ilgili belirli uzantılara sahip dosyaları şifreler ve bu dosyalara ‘.encrypted’ uzantısını ekler. Kötü amaçlı yazılım ayrıca mevcut bir fidye notunu kontrol ederek sistemlerin yeniden şifrelenmesini de önler.
kripto madenciDaha önce hareketsiz olan Monero (XMR) madenciliği için mevcut tüm işlem gücünden yararlanılarak artık etkinleştirildi. Bu ikili saldırı stratejisi hem sistem operasyonlarını aksatıyor hem de saldırganlara finansal kazanç sağlamayı amaçlıyor. Cado Security’nin analizi, kripto madencisinin halihazırda 10.000 dolar civarında biriktiğini ortaya çıkardı.
Botnet Mekanizması
P2Pinfect’in önemli bir özelliği eşler arası botnet yapısıdır. Virüs bulaşan her makine, büyük bir ağ ağı içinde bir düğüm görevi görerek güncellemelerin ve komutların tüm botnet’e hızlı bir şekilde yayılmasını kolaylaştırır. Bu dayanıklı ve gizli ağ mimarisi, kötü amaçlı yazılımın tespitten kaçmasına ve güvenliği ihlal edilmiş sistemlerde güçlü bir yer edinmesine olanak tanır.
Uzman Görüşleri
Patrick TiquetKeeper Security Güvenlik ve Mimariden Sorumlu Başkan Yardımcısı, P2Pinfect’in gelişiminin karmaşıklığını vurguladı. “P2Pinfect’in gelişimi, yazılım açıklarından yararlanma veya parola püskürtme gibi teknikler kullanarak, genellikle ilk aşamada yayılmaya ve ağlar içinde sağlam bir dayanak oluşturmaya odaklanan, karmaşık kötü amaçlı yazılımların nasıl geliştiğinin tipik bir örneğidir.”
Ken DunhamQualys Tehdit Araştırma Birimi Siber Tehdit Direktörü, gelişen kötü amaçlı yazılım taktiklerini izlemenin önemini vurguladı. “Siber tehdit istihbaratı (CTI) ekiplerinin, kötü aktörlerin gelişen taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) ilişkilendirme açısından izlemesi ve yönetmesinin yanı sıra, şirketlerin riski en iyi şekilde azaltmak için nereye odaklanması gerektiğine ilişkin tehdit manzarası ve göstergelerdeki değişiklikleri izlemesi ve yönetmesi önemlidir.” dedi Ken.
“Düşmanlar hayatta kalmak için dayanıklılığa ve gizliliğe odaklanırken, kritik organizasyonlar, patlamanın solundaki mor ekip operasyonları ile birlikte düzenli denetimler ve güvenceler sayesinde tehditlerin görünürlüğünü kazanabiliyor ve bilinmeyenleri tahmin edebiliyor.”
İLGİLİ KONULAR
- Migo Linux Kötü Amaçlı Yazılımı Redis’i Cryptojacking İçin Kullanıyor
- Rust Tabanlı Enjektör XWorm ve Remcos RAT’ı Kullanıyor
- Sahte Antivirüs Siteleri Avast Gibi Görünen Kötü Amaçlı Yazılım Yayıyor
- Discord Kötü Amaçlı Yazılım Saldırılarında Artış: 50 Bin Kötü Amaçlı Bağlantı Bulundu
- Panzehir Android Kötü Amaçlı Yazılımı, Fon Çalmak İçin Google Güncellemesi Gibi Görünüyor