Зачем червь устанавливает на устройствах программы-майнеры и оставляет их на потом?
С августа 2023 года исследователи зафиксировали резкий рост активности червя P2PInfect. Этот вредоносный код, распространяющийся по принципу peer-to-peer (одноранговая сеть), был впервые обнаружен экспертами из Unit 42 всего несколько месяцев назад, в июле. Обычно он нацеливается на системы Redis, эксплуатируя уязвимости удаленного выполнения кода на Windows и Linux.
Redis (Remote Dictionary Server) — это инструмент для работы с данными в базах ключ-значение, часто используемый как кэширующий сервер или брокер сообщений.
Компания Cado Security, которая также мониторит распространение ботнета, отмечает, что в основном атаки приходятся на сервера, расположенные в Китае, США, Германии, Сингапуре, Гонконге, Великобритании и Японии.
По мнению экспертов Cado, последние модификации P2PInfect свидетельствуют о его непрерывном развитии. Это позволяет вредоносному коду ещё эффективнее распространяться среди потенциальных жертв.
Аналитики обнаружили, что с 24 августа по 3 сентября число атак возросло в три раза. Максимальный рост активности был отмечен между 12 и 19 сентября — в эти дни зарегистрировано 3,619 попыток взлома.
Cado также выявила ряд технических новшеств в P2PInfect, делающих его устойчивым к обнаружению:
Несмотря на зафиксированные попытки P2PInfect установить программу-майнер на зараженные устройства, криптомайнинговой активности пока обнаружено не было. Это может свидетельствовать о том, что авторы вредоносного кода либо тестируют новые функции, либо используют майнер как демонстрационную модель при продаже.