Siber güvenlik araştırmacıları, yeni ortaya çıkan bir botnet’in yeni bir çeşidini keşfettiler. P2PInfect yönlendiricileri ve IoT cihazlarını hedef alabiliyor.
Cado Security Labs’a göre en son sürüm, Interlocked Pipelined Stages (MIPS) mimarisi olmayan Mikroişlemci için derlenerek yeteneklerini ve erişimini genişletiyor.
Güvenlik araştırmacısı Matt Muir, The Hacker News ile paylaşılan bir raporda, “P2PInfect geliştiricilerinin MIPS’yi hedef alarak yönlendiricilere ve IoT cihazlarına kötü amaçlı yazılım bulaştırmayı amaçlamaları kuvvetle muhtemeldir” dedi.
Rust tabanlı bir kötü amaçlı yazılım olan P2PInfect, ilk erişim için kritik bir Lua korumalı alan kaçış güvenlik açığından (CVE-2022-0543, CVSS puanı: 10,0) yararlanarak yama yapılmamış Redis örneklerini hedef alarak ilk kez Temmuz 2023’te ortaya çıktı.
Uygulama Yanıt Stratejileri ile İçeriden Tehdit Tespitini Öğrenin
Uygulama algılama, yanıt verme ve otomatik davranış modellemenin içeriden gelen tehditlere karşı savunmanızda nasıl devrim yaratabileceğini keşfedin.
Şimdi Katıl
Bulut güvenlik firmasının Eylül ayında yaptığı bir analiz, P2PInfect aktivitesinde kötü amaçlı yazılımın yinelenen çeşitlerinin piyasaya sürülmesiyle aynı zamana denk gelen bir artış olduğunu ortaya çıkardı.
Yeni eserler, 32 bit MIPS işlemcilere sahip cihazlara SSH kaba kuvvet saldırıları gerçekleştirmeye çalışmanın yanı sıra, radarın altından uçmak için güncellenmiş kaçırma ve anti-analiz tekniklerini de içeriyor.
Tarama aşamasında belirlenen SSH sunucularına yönelik kaba kuvvet girişimleri, ELF ikili dosyasında bulunan ortak kullanıcı adı ve şifre çiftleri kullanılarak gerçekleştirilir.
Redis-server olarak bilinen bir OpenWrt paketini kullanarak MIPS üzerinde bir Redis sunucusu çalıştırmanın mümkün olması nedeniyle hem SSH hem de Redis sunucularının MIPS varyantı için yayılma vektörleri olduğundan şüpheleniliyor.
Kullanılan dikkate değer kaçınma yöntemlerinden biri, analiz edilip edilmediğini belirlemek için bir kontrol yapmak ve analiz ediliyorsa kendini sonlandırmak ve ayrıca bir işlemin beklenmedik bir şekilde çökmesinden sonra çekirdek tarafından otomatik olarak oluşturulan dosyalar olan Linux çekirdek dökümlerini devre dışı bırakma girişimidir.
MIPS çeşidi aynı zamanda Redis için, güvenliği ihlal edilmiş bir sistemde kabuk komutlarının yürütülmesine izin veren yerleşik bir 64 bit Windows DLL modülünü de içerir.
Cado, “Bu sadece P2PInfect’in arkasındaki geliştiricilerin kapsamının genişlediğini göstermesi bakımından ilginç bir gelişme değil (daha fazla desteklenen işlemci mimarisi, botnet’in kendisinde daha fazla düğüm anlamına gelir), aynı zamanda MIPS32 örneği bazı önemli savunmadan kaçınma tekniklerini de içeriyor” dedi.
“Bu, kötü amaçlı yazılımın Rust’u kullanması (platformlar arası geliştirmeye yardımcı olması) ve botnet’in kendisinin hızlı büyümesiyle birleştiğinde, bu kampanyanın karmaşık bir tehdit aktörü tarafından yürütüldüğü yönündeki önceki önerileri güçlendiriyor.”