P2PInfect olarak bilinen eşler arası kötü amaçlı yazılım botnetinin, fidye yazılımları ve kripto para madencileriyle yanlış yapılandırılmış Redis sunucularını hedef aldığı tespit edildi.
Bu gelişme, tehdidin, belirsiz amaçlara sahip hareketsiz bir botnet gibi görünen bir durumdan, mali amaçlı bir operasyona geçişine işaret ediyor.
Cado Security, “Kripto madencisine, fidye yazılımı yüküne ve rootkit öğelerine yönelik en son güncellemeler, kötü amaçlı yazılım yazarının yasa dışı erişimden kâr elde etme ve internette solucan olmaya devam ederken ağı daha da yayma yönündeki sürekli çabalarını gösteriyor.” dedi. bu hafta yayınlanan bir rapor.
P2PInfect neredeyse bir yıl önce ortaya çıktı ve o zamandan beri MIPS ve ARM mimarilerini hedef alan güncellemeler aldı. Bu Ocak ayının başlarında Nozomi Networks, kötü amaçlı yazılımın madencilere veri göndermek için kullanıldığını ortaya çıkardı.
Tipik olarak Redis sunucularını hedef alarak ve kurban sistemlerini saldırganın kontrol ettiği sunucunun takipçi düğümüne dönüştürmek için kopyalama özelliğiyle yayılır ve daha sonra onlara rastgele komutlar vermesine olanak tanır.
Rust tabanlı solucan aynı zamanda interneti daha savunmasız sunucular için tarama yeteneğine de sahip, ayrıca ortak şifreleri kullanarak oturum açmaya çalışan bir SSH şifre püskürtme modülünü de bünyesinde barındırıyor.
P2PInfect’in, diğer saldırganların aynı sunucuyu hedeflemesini engellemek için adımlar atmanın yanı sıra, diğer kullanıcıların şifrelerini değiştirdiği, SSH hizmetini root izinleriyle yeniden başlattığı ve hatta ayrıcalık yükseltme işlemleri yaptığı da biliniyor.
Güvenlik araştırmacısı Nate Bill, “Adından da anlaşılacağı gibi, bu, virüs bulaşan her makinenin ağda bir düğüm görevi gördüğü ve diğer birkaç düğümle bağlantıyı sürdürdüğü eşler arası bir botnettir” dedi.
“Bu, botnet’in, kötü amaçlı yazılım yazarının bir dedikodu mekanizması yoluyla güncellenmiş ikili dosyaları ağ üzerinden yaymak için kullandığı devasa bir ağ oluşturmasıyla sonuçlanır. Yazarın yalnızca bir eşe haber vermesi yeterlidir ve o da tüm eşlerini bilgilendirir ve yeni ikili dosya ağ üzerinde tamamen yayılana kadar böyle devam eder.”
P2PInfect’teki yeni davranışsal değişiklikler arasında, kötü amaçlı yazılımın madenci ve fidye yazılımı yüklerini düşürmek için kullanılması yer alıyor; bunlardan ikincisi, belirli dosya uzantılarıyla eşleşen dosyaları şifrelemek ve kurbanları 1 XMR (~ 165 $) ödemeye çağıran bir fidye notu göndermek için tasarlandı.
Bill, “Bu hedefsiz ve fırsatçı bir saldırı olduğu için kurbanların değerinin düşük olması muhtemeldir, bu nedenle fiyatın düşük olması beklenebilir” dedi.
Ayrıca, kötü amaçlı süreçlerini ve dosyalarını güvenlik araçlarından gizlemek için LD_PRELOAD ortam değişkenini kullanan yeni bir kullanıcı modu rootkit’i de dikkate değerdir; bu teknik, TeamTNT gibi diğer kripto hırsızlığı grupları tarafından da benimsenmiştir.
P2PInfect’in, ödeme karşılığında diğer saldırganların yüklerini dağıtmak için bir kanal görevi gören, kiralık bir botnet hizmeti olarak tanıtıldığından şüpheleniliyor.
Bu teori, madenci ve fidye yazılımının cüzdan adreslerinin farklı olması ve madenci sürecinin fidye yazılımının işleyişine müdahale etmesine neden olacak şekilde mümkün olduğunca fazla işlem gücü kullanacak şekilde yapılandırılmasıyla destekleniyor.
“Öncelikle geçici bellek içi verileri depolayan bir sunucuyu hedef alan kötü amaçlı yazılımlar için fidye yazılımı yükünün seçilmesi tuhaf bir seçimdir ve P2Pinfect, içerdiği düşük değerli dosyaların sınırlı miktarı nedeniyle madencilerinden fidye yazılımlarından çok daha fazla kâr elde edecektir.” izin düzeyi nedeniyle erişebilir” dedi Bill.
“Kullanıcı modu rootkit’inin kullanıma sunulması, kötü amaçlı yazılıma ‘kağıt üzerinde iyi’ bir eklentidir. İlk erişim Redis ise, kullanıcı modu rootkit’i de tamamen etkisiz olacaktır çünkü yalnızca Redis hizmet hesabı için ön yükleme ekleyebilmektedir. büyük ihtimalle şu şekilde giriş yapmayacaktır.”
Açıklama, AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC), yamalanmamış kusurları olan veya güvenliği zayıf olan savunmasız web sunucularının, kripto madencilerini konuşlandırmak için Çince konuşan şüpheli tehdit aktörleri tarafından hedef alındığına ilişkin açıklamalarının ardından geldi.
ASEC, Behinder, China Chopper ve Godzilla’nın kullanımını vurgulayarak, “Uzaktan kontrol, kurulu web kabukları ve NetCat aracılığıyla kolaylaştırılıyor ve RDP erişimini hedefleyen proxy araçlarının kurulumu göz önüne alındığında, tehdit aktörlerinin veri sızdırması belirgin bir olasılık” dedi. BadPotato, cpolar ve RingQ.
Bu aynı zamanda Fortinet FortiGuard Labs’ın UNSTABLE, Condi ve Skibidi gibi botnet’lerin, kötü amaçlı yazılım yüklerini ve güncellemelerini geniş bir cihaz yelpazesine dağıtmak için meşru bulut depolama ve bilgi işlem hizmetleri operatörlerini kötüye kullandığına dikkat çekmesiyle de ortaya çıktı.
“Bulut sunucularını kullanma [command-and-control] Güvenlik araştırmacıları Cara Lin ve Vincent Li, “operasyonlar, tehlikeye atılmış cihazlarla sürekli iletişimi garanti altına alarak, savunucuların bir saldırıyı engellemesini zorlaştırıyor” dedi.