Исследователи кибербезопасности обнаружили новый вариант появляющейся ботнета под названием P2PInfect, который способен нацеливаться на маршрутизаторы и устройства Интернета вещей.
Последняя версия, согласно Cado Security Labs, скомпилирована для архитектуры микропроцессора без взаимосвязанных конвейерных этапов (MIPS), расширяя его возможности и охват.
"Весьма вероятно, что, нацеливаясь на MIPS, разработчики P2PInfect намерены заразить вредоносным ПО маршрутизаторы и устройства Интернета вещей", - сказал исследователь безопасности Мэтт Мьюир в отчете, опубликованном в Hacker News.
P2PInfect, вредоносная программа на основе Rust, была впервые раскрыта еще в июле 2023 года, нацеленная на не исправленные экземпляры Redis, используя критическую уязвимость для выхода из изолированной среды Lua (CVE-2022-0543, оценка CVSS: 10.0) для первоначального доступа.
Последующий анализ, проведенный компанией cloud Security в сентябре, выявил всплеск активности P2PInfect, совпавший с выпуском повторяющихся вариантов вредоносного ПО.
Новые артефакты, помимо попыток проводить атаки методом перебора по SSH на устройства, встроенные в 32-разрядные процессоры MIPS, содержат обновленные методы уклонения и антианализа, позволяющие оставаться незамеченными.
Попытки взлома SSH-серверов, выявленные на этапе сканирования, выполняются с использованием общих пар имени пользователя и пароля, присутствующих в самом двоичном файле ELF.
Есть подозрение, что как SSH, так и Redis-серверы являются векторами распространения MIPS-варианта, поскольку на MIPS можно запустить Redis-сервер, используя OpenWRT-пакет, известный как redis-server.
Одним из известных используемых методов уклонения является проверка, чтобы определить, анализируется ли он, и, если да, завершить работу, а также попытка отключить дампы ядра Linux, которые представляют собой файлы, автоматически генерируемые ядром после неожиданного сбоя процесса.
Вариант MIPS также включает встроенный 64-разрядный модуль Windows DLL для Redis, который позволяет выполнять команды командной оболочки в скомпрометированной системе.
"Это интересная разработка не только в том смысле, что она демонстрирует расширение возможностей разработчиков, стоящих за P2PInfect (более поддерживаемые процессорные архитектуры равны большему количеству узлов в самой ботнете), но и в том, что образец MIPS32 включает в себя некоторые заметные методы уклонения от защиты", - сказал Кадо.
"Это, в сочетании с использованием вредоносной программой Rust (способствующей кроссплатформенной разработке) и быстрым ростом самой ботнета, подтверждает предыдущие предположения о том, что эта кампания проводится изощренным субъектом угрозы".
Последняя версия, согласно Cado Security Labs, скомпилирована для архитектуры микропроцессора без взаимосвязанных конвейерных этапов (MIPS), расширяя его возможности и охват.
"Весьма вероятно, что, нацеливаясь на MIPS, разработчики P2PInfect намерены заразить вредоносным ПО маршрутизаторы и устройства Интернета вещей", - сказал исследователь безопасности Мэтт Мьюир в отчете, опубликованном в Hacker News.
P2PInfect, вредоносная программа на основе Rust, была впервые раскрыта еще в июле 2023 года, нацеленная на не исправленные экземпляры Redis, используя критическую уязвимость для выхода из изолированной среды Lua (CVE-2022-0543, оценка CVSS: 10.0) для первоначального доступа.
Последующий анализ, проведенный компанией cloud Security в сентябре, выявил всплеск активности P2PInfect, совпавший с выпуском повторяющихся вариантов вредоносного ПО.
Новые артефакты, помимо попыток проводить атаки методом перебора по SSH на устройства, встроенные в 32-разрядные процессоры MIPS, содержат обновленные методы уклонения и антианализа, позволяющие оставаться незамеченными.
Попытки взлома SSH-серверов, выявленные на этапе сканирования, выполняются с использованием общих пар имени пользователя и пароля, присутствующих в самом двоичном файле ELF.
Есть подозрение, что как SSH, так и Redis-серверы являются векторами распространения MIPS-варианта, поскольку на MIPS можно запустить Redis-сервер, используя OpenWRT-пакет, известный как redis-server.
Одним из известных используемых методов уклонения является проверка, чтобы определить, анализируется ли он, и, если да, завершить работу, а также попытка отключить дампы ядра Linux, которые представляют собой файлы, автоматически генерируемые ядром после неожиданного сбоя процесса.
Вариант MIPS также включает встроенный 64-разрядный модуль Windows DLL для Redis, который позволяет выполнять команды командной оболочки в скомпрометированной системе.
"Это интересная разработка не только в том смысле, что она демонстрирует расширение возможностей разработчиков, стоящих за P2PInfect (более поддерживаемые процессорные архитектуры равны большему количеству узлов в самой ботнете), но и в том, что образец MIPS32 включает в себя некоторые заметные методы уклонения от защиты", - сказал Кадо.
"Это, в сочетании с использованием вредоносной программой Rust (способствующей кроссплатформенной разработке) и быстрым ростом самой ботнета, подтверждает предыдущие предположения о том, что эта кампания проводится изощренным субъектом угрозы".
