Il worm peer-to-peer (P2PInfect) è stato osservato utilizzare metodi di accesso iniziali precedentemente non documentati per violare server Redis vulnerabili e includerli in una botnet.
Come funziona questo nuovo worm
“Il malware compromette le istanze esposte dell’archivio dati Redis sfruttando la funzione di replica“, hanno affermato i ricercatori di Cado Security Nate Bill e Matt Muir in un rapporto.
“Uno schema di attacco comune contro Redis in ambienti cloud è sfruttare questa funzionalità utilizzando un’istanza malevola per abilitare la replica. Ciò si ottiene connettendosi a un’istanza Redis esposta ed emettendo il comando SLAVEOF.”
Il malware (lo worm, insomma) basato su Rust è stato documentato per la prima volta da Palo Alto Networks Unit 42, evidenziando la capacità del malware di sfruttare una vulnerabilità critica di escape della sandbox Lua (CVE-2022-0543, punteggio CVSS: 10.0) per ottenere un punto d’appoggio nelle istanze Redis. Si ritiene che la campagna sia iniziata il 29 giugno 2023 o successivamente.
Tuttavia, l’ultima scoperta suggerisce che dietro la campagna i malintenzionati stanno sfruttando più exploit per l’accesso iniziale.
Non è la prima volta che il comando SLAVEOF viene abusato. In precedenza, criminali informatici associati a famiglie di malware come H2Miner e HeadCrab hanno sfruttato questa tecnica per estrarre criptovalute illegalmente su host compromessi.
L’obiettivo è replicare un’istanza malevola e caricare un modulo (ecco l’analogia col verme, worm) malevolo per attivare l’infezione.
Un altro vettore di accesso iniziale consiste nella registrazione di un lavoro cron malevolo sull’host Redis per scaricare il malware da un server remoto all’esecuzione, un metodo precedentemente osservato negli attacchi perpetrati dal gruppo di cryptojacking WatchDog.
Un attacco di successo è seguito dalla distribuzione di payload di fase successiva che consente al malware di modificare le regole del firewall iptables a piacimento, di aggiornarsi e di potenzialmente distribuire i miner di criptovalute in un secondo momento una volta che la botnet ha raggiunto una dimensione specifica.
“Il malware P2Pinfect [lo worm] utilizza una botnet peer-to-peer,” hanno dichiarato i ricercatori. “Ogni server infetto è trattato come un nodo, che si connette ad altri server infetti. Ciò consente all’intera botnet di scambiarsi informazioni tra loro senza utilizzare un server C2 centralizzato.”
Una caratteristica rilevante della botnet è il suo comportamento di propagazione, che le permette di espandersi utilizzando una lista di password per attaccare i server SSH con un attacco di forza bruta e cercare di sfruttare la vulnerabilità di escape della sandbox Lua o utilizzare il comando SLAVEOF nel caso dei server Redis.
“Il P2Pinfect è ben progettato e utilizza tecniche sofisticate per la replica e il C2,” hanno concluso i ricercatori. “La scelta di utilizzare Rust consente anche una maggiore portabilità del codice tra le piattaforme (con i binari Windows e Linux che condividono gran parte dello stesso codice), rendendo anche significativamente più difficile l’analisi statica del codice.”
Perché gli attacchi a Linux sono sempre più frequenti
I ricercatori hanno fatto notare che questo worm colpisce Windows e anche i sistemi operativi su base Linux, con la “moda” dell’utilizzare le distribuzioni Linux per maggiore privacy gli attacchi diventano più frequenti; semplicemente legge dei grandi numeri.
Se a questo aggiungiamo che molti pensano che “ah, tanto ho Linux sono al sicuro a prescindere“, è chiaro che la frittata è fatta; in questo caso viene anche condiviso lo stesso codice per una questione di pura praticità da parte dei programmatori, banalmente.
Ricorda che non è per forza il sistema operativo a salvarti da uno worm o da un virus o da malware in generale, il primo antivirus devi essere tu.
