Il malware botnet peer-to-peer noto come P2PInfect è stato trovato a prendere di mira server Redis mal configurati con ransomware e miner di criptovalute.
Questo sviluppo segna la transizione della minaccia da ciò che sembrava essere un botnet dormiente con motivi poco chiari a un’operazione a scopo di lucro.
P2Pinfect e il suo funzionamento secondo i ricercatori
“Con i suoi ultimi aggiornamenti al crypto miner, al payload ransomware e agli elementi rootkit, dimostra gli sforzi continui dell’autore del malware per trarre profitto dal loro accesso illecito e per espandere ulteriormente la rete, mentre continua a diffondersi su Internet“, ha dichiarato Cado Security in un rapporto pubblicato questa settimana.
P2PInfect è emerso quasi un anno fa e da allora ha ricevuto aggiornamenti per prendere di mira le architetture MIPS e ARM; all’inizio di gennaio, Nozomi Networks ha scoperto l’uso del malware per consegnare payload miner.
Si diffonde tipicamente prendendo di mira i server Redis e la sua funzione di replicazione per trasformare i sistemi vittima in un nodo follower del server controllato dall’attaccante, permettendogli successivamente di emettere comandi arbitrari.
Gli obiettivi che P2Pinfect prende di mira
Il worm basato su Rust presenta anche la capacità di scansionare Internet per trovare server più vulnerabili, oltre a incorporare un modulo sprayer per le password SSH che tenta di accedere utilizzando password comuni.
Oltre a prendere misure per impedire ad altri attaccanti di prendere di mira lo stesso server, P2PInfect è noto per cambiare le password degli altri utenti, riavviare il servizio SSH con permessi di root e persino eseguire l’escalation dei privilegi.
“Come suggerisce il nome, è un botnet peer-to-peer, dove ogni macchina infetta agisce come un nodo nella rete e mantiene una connessione con diversi altri nodi“, ha detto il ricercatore di sicurezza Nate Bill.
“Questo risulta nella formazione di una enorme rete mesh del botnet, che l’autore del malware sfrutta per inviare aggiornamenti binari attraverso la rete, tramite un meccanismo di gossip. L’autore deve semplicemente notificare un peer, e questo informerà tutti i suoi peer e così via fino a quando il nuovo binario non sarà completamente propagato attraverso la rete.”
Tra i nuovi cambiamenti comportamentali di P2PInfect vi è l’uso del malware per rilasciare payload miner e ransomware, quest’ultimo progettato per crittografare file con determinate estensioni e consegnare una nota di riscatto che invita le vittime a pagare 1 XMR (~$165).
“Poiché si tratta di un attacco non mirato e opportunistico, è probabile che le vittime siano di basso valore, quindi è previsto un prezzo basso“, ha sottolineato Bill.
La variabile presente nel codice di P2PInfect
Di rilievo anche un nuovo rootkit usermode che utilizza la variabile di ambiente LD_PRELOAD per nascondere i loro processi e file dannosi dagli strumenti di sicurezza, una tecnica adottata anche da altri gruppi di cryptojacking come TeamTNT.
Si sospetta che P2PInfect sia pubblicizzato come un servizio di botnet a noleggio, agendo come un condotto per distribuire i payload di altri attaccanti in cambio di pagamento.
Questa teoria è supportata dal fatto che gli indirizzi dei portafogli per il miner e il ransomware sono diversi e che il processo miner è configurato per occupare quanta più potenza di elaborazione possibile, causando interferenze con il funzionamento del ransomware.
“La scelta di un payload ransomware per malware che prende di mira principalmente un server che memorizza dati effimeri in memoria è strana, e P2PInfect vedrà probabilmente molto più profitto dal loro miner rispetto al loro ransomware a causa della limitata quantità di file di basso valore a cui può accedere a causa del suo livello di permessi“, ha detto Bill.
“L’introduzione del rootkit usermode è un’aggiunta ‘buona sulla carta’ al malware. Se l’accesso iniziale è Redis, il rootkit usermode sarà anche completamente inefficace poiché può solo aggiungere il preload per l’account di servizio Redis, con cui è probabile che altri utenti non si autentichino.”
La botnet P2PInfect infetta anche i cloud
La divulgazione segue le rivelazioni dell’AhnLab Security Intelligence Center (ASEC) che i server web vulnerabili con falle non patchate o scarsamente protetti sono presi di mira da attaccanti sospettati di lingua cinese per distribuire miner di criptovalute.
“Il controllo remoto è facilitato tramite web shell installate e NetCat, e data l’installazione di strumenti proxy mirati all’accesso RDP, l’esfiltrazione dei dati da parte degli attaccanti è una possibilità concreta“, ha detto ASEC, evidenziando l’uso di Behinder, China Chopper, Godzilla, BadPotato, cpolar e RingQ.
Questo avviene anche mentre Fortinet FortiGuard Labs ha evidenziato che botnet come UNSTABLE, Condi e Skibidi stanno abusando di servizi di cloud storage e computing legittimi per distribuire payload e aggiornamenti malware a una vasta gamma di dispositivi.
“Utilizzare server cloud per operazioni di [command-and-control] garantisce una comunicazione persistente con dispositivi compromessi, rendendo più difficile per i difensori interrompere un attacco“, hanno detto i ricercatori di sicurezza Cara Lin e Vincent Li.