Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Активность обновленного ботнета P2PInfect набирает обороты

22/09/23

Redis

С августа 2023 года исследователи зафиксировали резкий рост активности червя P2PInfect. Этот вредоносный код, распространяющийся по принципу peer-to-peer (одноранговая сеть), был впервые обнаружен экспертами из Unit 42 всего несколько месяцев назад, в июле. Обычно он нацеливается на системы Redis, эксплуатируя уязвимости удаленного выполнения кода на Windows и Linux, пишет Securitylab.

Redis (Remote Dictionary Server) — это инструмент для работы с данными в базах ключ-значение, часто используемый как кэширующий сервер или брокер сообщений.

Компания Cado Security, которая также мониторит распространение ботнета, отмечает, что в основном атаки приходятся на сервера, расположенные в Китае, США, Германии, Сингапуре, Гонконге, Великобритании и Японии.

По мнению экспертов Cado, последние модификации P2PInfect свидетельствуют о его непрерывном развитии. Это позволяет вредоносному коду ещё эффективнее распространяться среди потенциальных жертв.

Аналитики обнаружили, что с 24 августа по 3 сентября число атак возросло в три раза. Максимальный рост активности был отмечен между 12 и 19 сентября — в эти дни зарегистрировано 3,619 попыток взлома.

Cado также выявила ряд технических новшеств в P2PInfect, делающих его устойчивым к обнаружению:

  • Интегрирован механизм cron, который повышает скорость работы программы по сравнению с предыдущим методом — bash_logout.
  • Обновленный червь использует дополнительный код (bash-payload), чтобы связываться с основным через локальное серверное соединение.
  • Внедрен SSH-ключ для блокировки попыток входа легальных пользователей.
  • Если ботнет получает root-доступ, он меняет пароли всех пользователей системы.
  • P2PInfect теперь имеет конфигурацию, основанную на структурах языка программирования C. Она динамически изменяется в процессе выполнения кода.

Несмотря на зафиксированные попытки P2PInfect установить программу-майнер на зараженные устройства, криптомайнинговой активности пока обнаружено не было. Это может свидетельствовать о том, что авторы вредоносного кода либо тестируют новые функции, либо используют майнер как демонстрационную модель при продаже.

Темы:WindowsУгрозыботнетCado SecurityRedis
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...