Что ты задумал, P2PInfect? Активность обновленного ботнета набирает обороты

P2PInfect ботнет Redis Unit 42 Cado Security cron bash-payload майнер криптомайнинг SSH-ключ
Что ты задумал, P2PInfect? Активность обновленного ботнета набирает обороты
P2PInfect ботнет Redis Unit 42 Cado Security cron bash-payload майнер криптомайнинг SSH-ключ

Зачем червь устанавливает на устройствах программы-майнеры и оставляет их на потом?

image

С августа 2023 года исследователи зафиксировали резкий рост активности червя P2PInfect. Этот вредоносный код, распространяющийся по принципу peer-to-peer (одноранговая сеть), был впервые обнаружен экспертами из Unit 42 всего несколько месяцев назад, в июле. Обычно он нацеливается на системы Redis, эксплуатируя уязвимости удаленного выполнения кода на Windows и Linux.

Redis (Remote Dictionary Server) — это инструмент для работы с данными в базах ключ-значение, часто используемый как кэширующий сервер или брокер сообщений.

Компания Cado Security, которая также мониторит распространение ботнета, отмечает, что в основном атаки приходятся на сервера, расположенные в Китае, США, Германии, Сингапуре, Гонконге, Великобритании и Японии.

По мнению экспертов Cado, последние модификации P2PInfect свидетельствуют о его непрерывном развитии. Это позволяет вредоносному коду ещё эффективнее распространяться среди потенциальных жертв.

Аналитики обнаружили, что с 24 августа по 3 сентября число атак возросло в три раза. Максимальный рост активности был отмечен между 12 и 19 сентября — в эти дни зарегистрировано 3,619 попыток взлома.

Cado также выявила ряд технических новшеств в P2PInfect, делающих его устойчивым к обнаружению:

  • Интегрирован механизм cron, который повышает скорость работы программы по сравнению с предыдущим методом — bash_logout.
  • Обновленный червь использует дополнительный код (bash-payload), чтобы связываться с основным через локальное серверное соединение.
  • Внедрен SSH-ключ для блокировки попыток входа легальных пользователей.
  • Если ботнет получает root-доступ, он меняет пароли всех пользователей системы.
  • P2PInfect теперь имеет конфигурацию, основанную на структурах языка программирования C. Она динамически изменяется в процессе выполнения кода.

Несмотря на зафиксированные попытки P2PInfect установить программу-майнер на зараженные устройства, криптомайнинговой активности пока обнаружено не было. Это может свидетельствовать о том, что авторы вредоносного кода либо тестируют новые функции, либо используют майнер как демонстрационную модель при продаже.

Большой брат следит за вами, но мы знаем, как остановить его. Подпишитесь на наш канал!

Новости по теме

Ботнет «InfectedSlurs» массово вербует сетевые устройства в свой DDoS-батальон

По следам Farnetwork: кто ответственен за создание вымогательского ПО Nokoyawa

Рассекречен шпионаж Китая за правительством Камбоджи

Ботнет OracleIV использует общедоступные API Docker Engine для захвата контейнеров

Сплоченность ФБР и ИБ-компаний: история ликвидации ботнета IPStorm

Linux под осадой: Apache ActiveMQ как троянский конь для криптомайнера Kinsing

Бесплатная дешифровка: разработчики вымогателя QazLocker остались с носом

Чудовище из американского подвала: краткая история мегаботнета Mirai

Цифровой дипломатический кризис: Филиппины в сетевой осаде китайских хакеров