P2Pinfect Kötü Amaçlı Yazılım SSH Aracılığıyla Windows Fidye Yazılımını Dağıtıyor


P2Pinfect Kötü Amaçlı Yazılım

Siber güvenlik araştırmacıları, daha önce aktif olmayan P2Pinfect kötü amaçlı yazılım türünde önemli bir evrim keşfettiler. Güncellenen sürüm artık fidye yazılımı ve kripto madenciliğini dağıtarak hem kuruluşlar hem de bireyler için ciddi bir tehdit oluşturuyor.

Uzun süredir etkin olmayan bir kötü amaçlı yazılım türü olan P2Pinfect, yakın zamanda gelişmiş özelliklerle yeniden ortaya çıktı.

Cado Güvenlik ekibi, P2Pinfect’in güncellenmiş sürümünün artık fidye yazılımı ve kripto madenciliğini sunarak zarar verme potansiyelini artırdığını tespit etti.

P2Pinfect, daha fazla sunucuya bulaşmak için interneti tarayan bir solucandır. Sınırlı başarıya sahip bir SSH şifre püskürtücü içerir.

Başlatıldığında bir SSH anahtarı bırakır, Redis örneğinin mevcut IP’lere erişimini kısıtlar, kök oturum açmayı etkinleştirmek için SSH yapılandırmasını günceller ve izin veriliyorsa sudo kullanarak kullanıcı parolalarını değiştirmeye ve ayrıcalıkları yükseltmeye çalışır.

İlk erişim için P2Pinfect tarafından kullanılan Redis komutları

Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free

Gelişmiş Eşler Arası Botnet

P2Pinfect’in en dikkate değer özelliklerinden biri gelişmiş eşler arası (P2P) botnet’idir. Virüs bulaşan her makine, ağda bir düğüm görevi görerek diğer birkaç düğümle olan bağlantıları korur.

Bu ağ, kötü amaçlı yazılım yazarının, bir dedikodu mekanizması kullanarak güncellenmiş ikili dosyaları botnet’in tamamına etkili bir şekilde dağıtmasına olanak tanır.

Geliştirilen P2Pinfect kötü amaçlı yazılımı iki yönlü bir saldırı stratejisi kullanıyor. İlk olarak fidye yazılımını dağıtıyor, kurbanın dosyalarını şifreliyor ve şifre çözme anahtarı için fidye ödemesi talep ediyor.

İkinci olarak, saldırganların mali kazancı için virüslü sistemin kaynaklarını kullanarak gizlice kripto para madenciliği yapan bir kripto madenci kurar.

Redis Kullanımı Yoluyla İlk Erişim

P2Pinfect, öncelikli olarak popüler bir bellek içi veri yapısı deposu olan Redis’teki çoğaltma özelliklerini kullanarak yayılıyor.

Kötü amaçlı yazılım, Redis’in lider/takipçi topolojisini kötüye kullanarak takipçi düğümlerde kod yürütme elde eder ve kendisini ağ boyunca yayar.

Ayrıca P2Pinfect, daha yüksek ayrıcalıklara sahip kullanıcıları tehlikeye atmak için sınırlı bir SSH yayıcı kullanır.

Fidye yazılımı ve kripto madenciliğinin birleşimi, etkilenen kuruluşlar ve bireyler için ciddi sonuçlar doğurabilir.

Araştırmacılar, gelişen P2Pinfect kötü amaçlı yazılımına karşı koruma sağlamak için, sistemleri güncel tutmak, güçlü antivirüs çözümleri kullanmak, verileri düzenli olarak yedeklemek ve kullanıcıları siber güvenlik riskleri konusunda eğitmek de dahil olmak üzere çok katmanlı bir güvenlik yaklaşımının uygulanmasını öneriyor.

Tehdit ortamı geliştikçe kuruluşlar ve bireyler siber güvenlik çabalarında dikkatli ve proaktif kalmalıdır. P2Pinfect’in yeniden ortaya çıkışı bize, uykuda olan kötü amaçlı yazılımların bile yeni ve tehlikeli yeteneklerle yeniden ortaya çıkabileceğini hatırlatıyor.

Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan

ana 4f949750575d7970c20e009da115171d28f1c96b8b6a6e2623580fa8be1753d9
vuruş 2c8a37285804151fb727ee0ddc63e4aec54d9460b8b23505557467284f953e4b
madenci 8a29238ef597df9c34411e3524109546894b3cca67c2690f63c4fb53a433f4e3
ragen 9b74bfec39e2fcd8dd6dda6c02e1f1f8e64c10da2e06b6e09ccbe6234a828acb
libs.so.1 Dinamik olarak oluşturulmuş, tutarlı karma yok

IP’ler

Rsagen için indirme sunucusu 129[.]144[.]180[.]26:60107
Madencilik havuzu IP 1 88[.]198[.]117[.]174:19999
Madencilik havuzu IP 2 159[.]69[.]83[.]232:19999
Madencilik havuzu IP 3 195[.]201[.]97[.]156:19999



Source link