Siber güvenlik araştırmacıları, daha önce aktif olmayan P2Pinfect kötü amaçlı yazılım türünde önemli bir evrim keşfettiler. Güncellenen sürüm artık fidye yazılımı ve kripto madenciliğini dağıtarak hem kuruluşlar hem de bireyler için ciddi bir tehdit oluşturuyor.
Uzun süredir etkin olmayan bir kötü amaçlı yazılım türü olan P2Pinfect, yakın zamanda gelişmiş özelliklerle yeniden ortaya çıktı.
Cado Güvenlik ekibi, P2Pinfect’in güncellenmiş sürümünün artık fidye yazılımı ve kripto madenciliğini sunarak zarar verme potansiyelini artırdığını tespit etti.
P2Pinfect, daha fazla sunucuya bulaşmak için interneti tarayan bir solucandır. Sınırlı başarıya sahip bir SSH şifre püskürtücü içerir.
Başlatıldığında bir SSH anahtarı bırakır, Redis örneğinin mevcut IP’lere erişimini kısıtlar, kök oturum açmayı etkinleştirmek için SSH yapılandırmasını günceller ve izin veriliyorsa sudo kullanarak kullanıcı parolalarını değiştirmeye ve ayrıcalıkları yükseltmeye çalışır.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free
Gelişmiş Eşler Arası Botnet
P2Pinfect’in en dikkate değer özelliklerinden biri gelişmiş eşler arası (P2P) botnet’idir. Virüs bulaşan her makine, ağda bir düğüm görevi görerek diğer birkaç düğümle olan bağlantıları korur.
Bu ağ, kötü amaçlı yazılım yazarının, bir dedikodu mekanizması kullanarak güncellenmiş ikili dosyaları botnet’in tamamına etkili bir şekilde dağıtmasına olanak tanır.
Geliştirilen P2Pinfect kötü amaçlı yazılımı iki yönlü bir saldırı stratejisi kullanıyor. İlk olarak fidye yazılımını dağıtıyor, kurbanın dosyalarını şifreliyor ve şifre çözme anahtarı için fidye ödemesi talep ediyor.
İkinci olarak, saldırganların mali kazancı için virüslü sistemin kaynaklarını kullanarak gizlice kripto para madenciliği yapan bir kripto madenci kurar.
Redis Kullanımı Yoluyla İlk Erişim
P2Pinfect, öncelikli olarak popüler bir bellek içi veri yapısı deposu olan Redis’teki çoğaltma özelliklerini kullanarak yayılıyor.
Kötü amaçlı yazılım, Redis’in lider/takipçi topolojisini kötüye kullanarak takipçi düğümlerde kod yürütme elde eder ve kendisini ağ boyunca yayar.
Ayrıca P2Pinfect, daha yüksek ayrıcalıklara sahip kullanıcıları tehlikeye atmak için sınırlı bir SSH yayıcı kullanır.
Fidye yazılımı ve kripto madenciliğinin birleşimi, etkilenen kuruluşlar ve bireyler için ciddi sonuçlar doğurabilir.
Araştırmacılar, gelişen P2Pinfect kötü amaçlı yazılımına karşı koruma sağlamak için, sistemleri güncel tutmak, güçlü antivirüs çözümleri kullanmak, verileri düzenli olarak yedeklemek ve kullanıcıları siber güvenlik riskleri konusunda eğitmek de dahil olmak üzere çok katmanlı bir güvenlik yaklaşımının uygulanmasını öneriyor.
Tehdit ortamı geliştikçe kuruluşlar ve bireyler siber güvenlik çabalarında dikkatli ve proaktif kalmalıdır. P2Pinfect’in yeniden ortaya çıkışı bize, uykuda olan kötü amaçlı yazılımların bile yeni ve tehlikeli yeteneklerle yeniden ortaya çıkabileceğini hatırlatıyor.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
| ana | 4f949750575d7970c20e009da115171d28f1c96b8b6a6e2623580fa8be1753d9 |
| vuruş | 2c8a37285804151fb727ee0ddc63e4aec54d9460b8b23505557467284f953e4b |
| madenci | 8a29238ef597df9c34411e3524109546894b3cca67c2690f63c4fb53a433f4e3 |
| ragen | 9b74bfec39e2fcd8dd6dda6c02e1f1f8e64c10da2e06b6e09ccbe6234a828acb |
| libs.so.1 | Dinamik olarak oluşturulmuş, tutarlı karma yok |
IP’ler
| Rsagen için indirme sunucusu | 129[.]144[.]180[.]26:60107 |
| Madencilik havuzu IP 1 | 88[.]198[.]117[.]174:19999 |
| Madencilik havuzu IP 2 | 159[.]69[.]83[.]232:19999 |
| Madencilik havuzu IP 3 | 195[.]201[.]97[.]156:19999 |