Что ты задумал, P2PInfect? Активность обновленного ботнета набирает обороты

С августа 2023 года исследователи зафиксировали резкий рост активности червя P2PInfect. Этот вредоносный код, распространяющийся по принципу peer-to-peer (одноранговая сеть), был впервые обнаружен экспертами из Unit 42 всего несколько месяцев назад, в июле. Обычно он нацеливается на системы Redis, эксплуатируя уязвимости удаленного выполнения кода на Windows и Linux.

Redis (Remote Dictionary Server) — это инструмент для работы с данными в базах ключ-значение, часто используемый как кэширующий сервер или брокер сообщений.

Компания Cado Security, которая также мониторит распространение ботнета, отмечает, что в основном атаки приходятся на сервера, расположенные в Китае, США, Германии, Сингапуре, Гонконге, Великобритании и Японии.

По мнению экспертов Cado, последние модификации P2PInfect свидетельствуют о его непрерывном развитии. Это позволяет вредоносному коду ещё эффективнее распространяться среди потенциальных жертв.

Аналитики обнаружили, что с 24 августа по 3 сентября число атак возросло в три раза. Максимальный рост активности был отмечен между 12 и 19 сентября — в эти дни зарегистрировано 3,619 попыток взлома.

Cado также выявила ряд технических новшеств в P2PInfect, делающих его устойчивым к обнаружению:

• Интегрирован механизм cron, который повышает скорость работы программы по сравнению с предыдущим методом — bash_logout.
• Обновленный червь использует дополнительный код (bash-payload), чтобы связываться с основным через локальное серверное соединение.
• Внедрен SSH-ключ для блокировки попыток входа легальных пользователей.
• Если ботнет получает root-доступ, он меняет пароли всех пользователей системы.
• P2PInfect теперь имеет конфигурацию, основанную на структурах языка программирования C. Она динамически изменяется в процессе выполнения кода.

Несмотря на зафиксированные попытки P2PInfect установить программу-майнер на зараженные устройства, криптомайнинговой активности пока обнаружено не было. Это может свидетельствовать о том, что авторы вредоносного кода либо тестируют новые функции, либо используют майнер как демонстрационную модель при продаже.