Активность обновленного ботнета P2PInfect набирает обороты
22/09/23
С августа 2023 года исследователи зафиксировали резкий рост активности червя P2PInfect. Этот вредоносный код, распространяющийся по принципу peer-to-peer (одноранговая сеть), был впервые обнаружен экспертами из Unit 42 всего несколько месяцев назад, в июле. Обычно он нацеливается на системы Redis, эксплуатируя уязвимости удаленного выполнения кода на Windows и Linux, пишет Securitylab.
Redis (Remote Dictionary Server) — это инструмент для работы с данными в базах ключ-значение, часто используемый как кэширующий сервер или брокер сообщений.
Компания Cado Security, которая также мониторит распространение ботнета, отмечает, что в основном атаки приходятся на сервера, расположенные в Китае, США, Германии, Сингапуре, Гонконге, Великобритании и Японии.
По мнению экспертов Cado, последние модификации P2PInfect свидетельствуют о его непрерывном развитии. Это позволяет вредоносному коду ещё эффективнее распространяться среди потенциальных жертв.
Аналитики обнаружили, что с 24 августа по 3 сентября число атак возросло в три раза. Максимальный рост активности был отмечен между 12 и 19 сентября — в эти дни зарегистрировано 3,619 попыток взлома.
Cado также выявила ряд технических новшеств в P2PInfect, делающих его устойчивым к обнаружению:
- Интегрирован механизм cron, который повышает скорость работы программы по сравнению с предыдущим методом — bash_logout.
- Обновленный червь использует дополнительный код (bash-payload), чтобы связываться с основным через локальное серверное соединение.
- Внедрен SSH-ключ для блокировки попыток входа легальных пользователей.
- Если ботнет получает root-доступ, он меняет пароли всех пользователей системы.
- P2PInfect теперь имеет конфигурацию, основанную на структурах языка программирования C. Она динамически изменяется в процессе выполнения кода.
Несмотря на зафиксированные попытки P2PInfect установить программу-майнер на зараженные устройства, криптомайнинговой активности пока обнаружено не было. Это может свидетельствовать о том, что авторы вредоносного кода либо тестируют новые функции, либо используют майнер как демонстрационную модель при продаже.