Исследователи Cado Security сообщают о новых версиях вредоносного ПО P2Pinfect на основе rust.
P2Pinfect
Изначально вредоносная программа распространялась через Redis и ограниченный SSH-распространитель, не имея четкой цели, кроме распространения. P2Pinfect получает первоначальный доступ, используя функции репликации в Redis, превращая обнаруженные открытые узлы Redis в узлы-последователи атакующего сервера. Он также использует команды конфигурации Redis для записи задания cron в каталог cron.
Основной полезной нагрузкой P2Pinfect является червь, который сканирует интернет в поисках новых серверов для заражения и имеет базовый распылитель паролей SSH. Ботнет - примечательная особенность P2Pinfect - действует как одноранговая сеть для распространения обновленных двоичных файлов. Основной двоичный файл P2Pinfect подвергся переработке: теперь он полностью написан с использованием tokio, асинхронного фреймворка для rust, и снабжен UPX. Кроме того, теперь вредоносная программа сбрасывает вторичный бинарник в /tmp/bash для проверки работоспособности. Полезная нагрузка майнера, встроенная в P2Pinfect, становится активной примерно через пять минут, а полезная нагрузка выкупного ПО, называемого rsagen, загружается и выполняется при присоединении к ботнету.
Программа зашифровывает файлы и добавляет в конец имени файла .encrypted, а также выкупную записку с заголовком "Ваши данные были заблокированы!.txt". Злоумышленник заработал около 71 XMR, что эквивалентно примерно 9 660 фунтам стерлингов, однако в майнинговом пуле активен только 1 работник со скоростью 22 KH/s, что позволяет предположить, что используется другой адрес кошелька. Команда на запуск программы-вымогателя была отдана непосредственно оператором вредоносной программы, а сервер загрузки может быть контролируемым злоумышленником сервером, используемым для размещения дополнительных полезных нагрузок.
P2Pinfect также включает руткит usermode, который скрывает специфическую информацию и обходит проверки при установке определенной переменной окружения. Существует предположение, что P2Pinfect может быть наемным ботнетом, о чем свидетельствует доставка полезной нагрузки выкупа с фиксированного URL-адреса и разделение адресов кошельков майнера и выкупа. Однако распространение rsagen также может свидетельствовать о посредничестве при предоставлении первоначального доступа. В целом P2Pinfect продолжает развиваться, обновляя полезную нагрузку и защитные функции, что свидетельствует о постоянных попытках автора вредоносной программы получить прибыль от незаконного доступа и дальнейшего распространения в сети. Влияние вымогательской программы ограничено, поскольку вектором ее первоначального доступа является Redis, который имеет ограниченные права и ограниченные возможности хранения данных.
Indicators of Compromise
IPv4
- 129.144.180.26
URLs
- http://129.144.180.26:60107
- http://129.144.180.26:60107/dl/rsagen
- http://159.69.83.232:19999
- http://195.201.97.156:19999
- http://88.198.117.174:19999
SHA256
- 2c8a37285804151fb727ee0ddc63e4aec54d9460b8b23505557467284f953e4b
- 4f949750575d7970c20e009da115171d28f1c96b8b6a6e2623580fa8be1753d9
- 8a29238ef597df9c34411e3524109546894b3cca67c2690f63c4fb53a433f4e3
- 9b74bfec39e2fcd8dd6dda6c02e1f1f8e64c10da2e06b6e09ccbe6234a828acb