P2Pinfect: новый этап эволюции вредоносного ПО на основе Rust с майнингом и вымогательством

Первоначально P2Pinfect использовал функцию репликации Redis, превращая незащищенные серверы в подчиненные узлы атакующей инфраструктуры. Для закрепления в системе зловред записывал cron-задания, обеспечивая себе постоянное выполнение. Однако последние версии демонстрируют куда более сложное поведение. Основная полезная нагрузка P2Pinfect представляет собой червя, который сканирует интернет в поисках новых жертв, а также содержит базовый SSH-брутфорс. Одной из ключевых особенностей ботнета является его децентрализованная структура, работающая по принципу peer-to-peer сети, что позволяет злоумышленникам быстро распространять обновленные бинарные файлы среди зараженных узлов.

Главный двоичный файл вредоноса был полностью переписан с использованием фреймворка Tokio, что значительно повысило его эффективность при асинхронных операциях. Кроме того, разработчики применили упаковщик UPX для усложнения анализа антивирусными решениями. В новой версии P2Pinfect также появилась дополнительная проверка работоспособности – бинарник сбрасывается в */tmp/bash*, что может использоваться для тестирования окружения перед полным внедрением.

Через пять минут после заражения активируется майнинговая нагрузка, нацеленная на добычу криптовалюты Monero. По данным исследователей, злоумышленник уже заработал около 71 XMR (примерно 9 660 фунтов стерлингов), однако активность майнинга остается относительно низкой – в пуле зафиксирован лишь один работник со скоростью 22 KH/s. Это может указывать на использование дополнительных кошельков для скрытия реальных доходов.

Еще более тревожным аспектом является встроенная полезная нагрузка ransomware под названием *rsagen*. После подключения к ботнету вредонос шифрует файлы на зараженной системе, добавляя к их именам расширение *.encrypted* и оставляя текстовый файл с требованием выкупа. Несмотря на агрессивное поведение, реальный ущерб от этой функции пока ограничен, так как Redis, выступающий основным вектором атаки, обычно имеет узкие права доступа и не хранит критически важные данные.

P2Pinfect также оснащен пользовательским руткитом, который скрывает следы присутствия в системе и обходит некоторые проверки безопасности. Аналитики предполагают, что зловред может использоваться как наемный ботнет, поскольку вымогательская нагрузка загружается с фиксированного URL, а майнинг и шифрование данных используют разные кошельки. Это может свидетельствовать о коммерциализации ботнета, когда злоумышленники сдают его в аренду третьим лицам для проведения атак.

В целом P2Pinfect продолжает развиваться, демонстрируя повышенную устойчивость к обнаружению и новые способы монетизации. Его авторы явно нацелены на долгосрочное присутствие в сети, комбинируя разные типы вредоносной активности – от криптоджекинга до ransomware. Администраторам серверов настоятельно рекомендуется проверять настройки Redis, обновлять пароли SSH и внедрять системы мониторинга для предотвращения подобных атак.

IPv4

• 129.144.180.26

URLs

• http://129.144.180.26:60107
• http://129.144.180.26:60107/dl/rsagen
• http://159.69.83.232:19999
• http://195.201.97.156:19999
• http://88.198.117.174:19999

SHA256

• 2c8a37285804151fb727ee0ddc63e4aec54d9460b8b23505557467284f953e4b
• 4f949750575d7970c20e009da115171d28f1c96b8b6a6e2623580fa8be1753d9
• 8a29238ef597df9c34411e3524109546894b3cca67c2690f63c4fb53a433f4e3
• 9b74bfec39e2fcd8dd6dda6c02e1f1f8e64c10da2e06b6e09ccbe6234a828acb