Недавно исследователи Cado Security Labs столкнулись с новой вредоносной кампанией, нацеленной на общедоступные развертывания хранилища данных Redis. Вредоносная программа, получившая от разработчиков название "P2Pinfect", написана на языке Rust и выступает в роли агента ботнета. Образец, проанализированный исследователями Cado, содержит встроенный переносимый исполняемый файл (PE) и дополнительный исполняемый файл ELF, что свидетельствует о кроссплатформенной совместимости с Windows и Linux.
Исследователи Unit42 также опубликовали подробный анализ Windows-варианта вредоносной программы. Согласно полученным результатам, найденный ими вариант поставлялся через эксплуатацию CVE-2022-0543 - уязвимости выхода из песочницы LUA, присутствующей в некоторых версиях Redis.
Indicators of Compromise
IPv4
- 35.183.81.182
- 66.154.127.38
- 66.154.127.39
- 8.218.44.75
- 97.107.96.14
SHA256
- 68eaccf15a96fdc9a4961daffec5e42878b5924c3c72d6e7d7a9b143ba2bbfa9
- 87a3fc1088449dbd3554fe029a1878a525e64ab4ccf71b23edb03619ba94403a
- 88601359222a47671ea6f010a670a35347214d8592bceaf9d2e8d1b303fe26d7
- 89be7d1d2526c22f127c9351c0b9eafccd811e617939e029b757db66dadc8f93
- b1fab9d92a29ca7e8c0b0c4c45f759adf69b7387da9aebb1d1e90ea9ab7de76c
- ce047893ac5bd2100db3448bd62c324e471ffcddd48433788bfe885e5f071a89
