Le ver peer-to-peer (P2) P2PInfect a été observé en utilisant des méthodes d’accès initiales non documentées pour violer les serveurs Redis sensibles et les lier à un botnet.

« Le logiciel malveillant compromet les instances exposées du magasin de données Redis en exploitant la fonction de réplication », ont déclaré les chercheurs de Cado Security, Nate Bill et Matt Muir, dans un rapport partagé avec The Hacker News.

« Un modèle d’attaque courant contre Redis dans les environnements cloud consiste à exploiter cette fonctionnalité à l’aide d’une instance malveillante pour permettre la réplication. Ceci est réalisé en se connectant à une instance Redis exposée et en émettant la commande SLAVEOF. »

Le malware basé sur Rust a été documenté pour la première fois par l’unité 42 de Palo Alto Networks, évoquant la capacité du malware à exploiter une vulnérabilité critique d’échappement du bac à sable Lua (CVE-2022-0543, score CVSS : 10,0) pour s’implanter dans les instances Redis. La campagne aurait commencé le 29 juin 2023 ou après cette date.

Cependant, la dernière découverte suggère que les acteurs de la menace derrière la campagne exploitent plusieurs exploits pour l’accès initial.

Ce n’est pas la première fois que la commande SLAVEOF fait l’objet d’abus dans la nature. Auparavant, les acteurs de la menace associés aux familles de logiciels malveillants tels que H2Miner et HeadCrab ont abusé de la technique d’attaque pour exploiter illicitement la crypto-monnaie sur des hôtes compromis.

Ce faisant, le but est de répliquer une instance malveillante et de charger un module malveillant pour activer l’infection.

Un autre vecteur d’accès initial implique l’enregistrement d’une tâche cron malveillante sur l’hôte Redis pour télécharger le logiciel malveillant à partir d’un serveur distant lors de son exécution, une méthode précédemment observée dans les attaques montées par le groupe de cryptojacking WatchDog.

Une violation réussie est suivie de la distribution de charges utiles de la prochaine étape qui permettent au logiciel malveillant de modifier les règles de pare-feu iptables à volonté, de se mettre à niveau et de déployer potentiellement des mineurs de crypto-monnaie à une date ultérieure une fois que le botnet a atteint une taille spécifique.

« Le malware P2Pinfect utilise un botnet peer-to-peer », ont déclaré les chercheurs. « Chaque serveur infecté est traité comme un nœud, qui se connecte ensuite à d’autres serveurs infectés. Cela permet à l’ensemble du botnet de bavarder entre eux sans utiliser de serveur C2 centralisé. »

Un trait notable du botnet est son comportement vermifuge, lui permettant d’étendre sa portée en utilisant une liste de mots de passe pour forcer brutalement les serveurs SSH et en tentant d’exploiter la vulnérabilité d’échappement du bac à sable Lua ou d’utiliser la commande SLAVEOF dans le cas des serveurs Redis.

« P2Pinfect est bien conçu et utilise des techniques sophistiquées de réplication et de C2 », ont conclu les chercheurs. « Le choix d’utiliser Rust permet également une portabilité plus facile du code entre les plates-formes (les binaires Windows et Linux partageant une grande partie du même code), tout en rendant l’analyse statique du code beaucoup plus difficile. »

A lire également