11 июля 2023 года исследователи облачных вычислений Unit 42 обнаружили новый одноранговый (P2P) червь, который назвали P2PInfect. Этот червь, написанный на языке Rust - высокомасштабируемом и удобном для облачных сред языке программирования, способен осуществлять кроссплатформенное заражение и нацелен на Redis - популярное приложение для работы с базами данных с открытым исходным кодом, которое активно используется в облачных средах. Экземпляры Redis могут работать как в операционных системах Linux, так и Windows.
Исследователи Unit 42 за последние две недели выявили более 307 000 уникальных систем Redis, находящихся в открытом доступе, из которых 934 могут быть уязвимы для данного варианта P2P-червя. Хотя не все из 307 000 экземпляров Redis окажутся уязвимыми, червь все равно будет нацелен на эти системы и попытается их скомпрометировать.
Червь P2PInfect заражает уязвимые экземпляры Redis, используя уязвимость выхода из песочницы Lua, CVE-2022-0543. Хотя уязвимость была раскрыта в 2022 году, на данный момент ее масштаб до конца не известен. Однако в Национальной базе данных уязвимостей NIST она имеет критический CVSS-балл 10.0. Кроме того, тот факт, что P2PInfect эксплуатирует серверы Redis, работающие под управлением операционных систем Linux и Windows, делает его более масштабируемым и мощным по сравнению с другими червями. Червь P2P, замеченный исследователями Unit 42, является примером серьезной атаки, которую могут провести угрожающие лица, используя данную уязвимость.
P2PInfect использует CVE-2022-0543 для получения начального доступа, а затем сбрасывает начальную полезную нагрузку, которая устанавливает P2P-соединение с более крупной P2P-сетью. После установления P2P-соединения червь перетягивает на себя дополнительные вредоносные двоичные файлы, такие как скрипты для ОС и сканирующее ПО. Затем зараженный экземпляр присоединяется к P2P-сети, чтобы предоставить доступ к другим полезным нагрузкам будущим скомпрометированным экземплярам Redis.
Эксплуатация CVE-2022-0543 таким образом делает червь P2PInfect более эффективным для работы и распространения в облачных контейнерных средах. Именно здесь исследователи Unit 42 и обнаружили червя, скомпрометировав контейнерный экземпляр Redis в нашей среде HoneyCloud, представляющей собой набор медовых точек, которые мы используем для выявления и изучения новых облачных атак в публичных облачных средах.
Unit 42 считают, что данная кампания P2PInfect является первым этапом потенциально более мощной атаки, использующей эту надежную командно-контрольную сеть P2P. В составе вредоносного инструментария P2PInfect встречается слово "майнер". Однако исследователям не удалось обнаружить никаких точных доказательств того, что криптомайнинг когда-либо осуществлялся. Кроме того, P2P-сеть, по-видимому, обладает множеством C2-функций, таких как "автообновление", позволяющих контроллерам P2P-сети передавать в сеть новые полезные нагрузки, которые могут изменять и повышать эффективность любой из вредоносных операций. Исследователи Unit 42 будут продолжать следить за изменениями и вносить соответствующие обновления.
Indicators of Compromise
IPv4
- 35.183.81.182
- 66.154.127.38
- 66.154.127.39
- 8.218.44.75
- 97.107.96.14
SHA256
- 68eaccf15a96fdc9a4961daffec5e42878b5924c3c72d6e7d7a9b143ba2bbfa9
- 88601359222a47671ea6f010a670a35347214d8592bceaf9d2e8d1b303fe26d7
- 89be7d1d2526c22f127c9351c0b9eafccd811e617939e029b757db66dadc8f93
- b1fab9d92a29ca7e8c0b0c4c45f759adf69b7387da9aebb1d1e90ea9ab7de76c