P2PInfect olarak bilinen eşler arası kötü amaçlı yazılım botnet’inin, fidye yazılımı ve kripto para madencileriyle yanlış yapılandırılmış Redis sunucularını hedef aldığı tespit edildi.
Bu gelişme, tehdidin, belirsiz amaçlara sahip hareketsiz bir botnet gibi görünen bir durumdan, mali amaçlı bir operasyona geçişine işaret ediyor.
“Kripto madenci, fidye yazılımı yükü ve kök araç takımı unsurlarına yönelik son güncellemeleriyle, kötü amaçlı yazılım yazarının yasadışı erişimden kar elde etme ve ağı daha da yayma yönündeki sürekli çabalarını gösteriyor; internette solucan gibi yayılmaya devam ediyor,” Cado Security söz konusu bu hafta yayınlanan bir raporda.
P2PInfect neredeyse bir yıl önce ortaya çıktı ve o zamandan beri MIPS ve ARM mimarilerini hedef alan güncellemeler aldı. Bu Ocak ayının başlarında Nozomi Networks, kötü amaçlı yazılımın madenci yüklerini dağıtmak için kullanıldığını ortaya çıkardı.
Tipik olarak Redis sunucularını hedef alarak ve kurban sistemlerini saldırganın kontrol ettiği sunucunun takipçi düğümüne dönüştürmek için kopyalama özelliğiyle yayılır ve daha sonra onlara rastgele komutlar vermesine olanak tanır.
Rust tabanlı solucan aynı zamanda interneti daha savunmasız sunucular için tarama yeteneğine de sahip, ayrıca ortak şifreleri kullanarak oturum açmaya çalışan bir SSH şifre püskürtme modülünü de bünyesinde barındırıyor.
P2PInfect’in, diğer saldırganların aynı sunucuyu hedeflemesini engellemek için adımlar atmanın yanı sıra, diğer kullanıcıların şifrelerini değiştirdiği, SSH hizmetini root izinleriyle yeniden başlattığı ve hatta ayrıcalık yükseltme işlemleri yaptığı da biliniyor.
Güvenlik araştırmacısı Nate Bill, “Adından da anlaşılacağı gibi, bu, virüs bulaşan her makinenin ağda bir düğüm görevi gördüğü ve diğer birkaç düğümle bağlantıyı sürdürdüğü eşler arası bir botnettir” dedi.
“Bu, botnet’in, kötü amaçlı yazılım yazarının bir dedikodu mekanizması yoluyla güncellenmiş ikili dosyaları ağ üzerinden yaymak için kullandığı devasa bir ağ oluşturmasıyla sonuçlanır. Yazarın yalnızca bir eşe haber vermesi yeterlidir ve o da tüm eşlerini bilgilendirir ve yeni ikili dosya ağ üzerinde tamamen yayılana kadar böyle devam eder.”
P2PInfect’teki yeni davranışsal değişiklikler arasında, kötü amaçlı yazılımın madenci ve fidye yazılımı yüklerini düşürmek için kullanılması yer alıyor; bunlardan ikincisi, belirli dosya uzantılarıyla eşleşen dosyaları şifrelemek ve kurbanları 1 XMR (~ 165 $) ödemeye çağıran bir fidye notu göndermek için tasarlandı.
Bill, “Bu hedefsiz ve fırsatçı bir saldırı olduğu için kurbanların değerinin düşük olması muhtemeldir, bu nedenle fiyatın düşük olması beklenebilir” dedi.
Ayrıca, kötü amaçlı işlemlerini ve dosyalarını güvenlik araçlarından gizlemek için LD_PRELOAD ortam değişkenini kullanan yeni bir kullanıcı modu kök seti de dikkat çekici. Bu teknik, TeamTNT gibi diğer kripto para korsanlığı grupları tarafından da benimsendi.
P2PInfect’in, ödeme karşılığında diğer saldırganların yüklerini dağıtmak için bir kanal görevi gören, kiralık bir botnet hizmeti olarak tanıtıldığından şüpheleniliyor.
Bu teori, madenci ve fidye yazılımının cüzdan adreslerinin farklı olması ve madenci sürecinin fidye yazılımının işleyişine müdahale etmesine neden olacak şekilde mümkün olduğunca fazla işlem gücü kullanacak şekilde yapılandırılmasıyla destekleniyor.
“Öncelikle geçici bellek içi verileri depolayan bir sunucuyu hedef alan kötü amaçlı yazılımlar için fidye yazılımı yükünün seçilmesi tuhaf bir seçimdir ve P2Pinfect, içerdiği düşük değerli dosyaların sınırlı miktarı nedeniyle madencilerinden fidye yazılımlarından çok daha fazla kar elde edecektir.” izin düzeyi nedeniyle erişebilir” dedi Bill.
“Kullanıcı modu kök kitinin tanıtımı, kötü amaçlı yazılıma ‘kağıt üzerinde iyi’ bir eklemedir. İlk erişim Redis ise, kullanıcı modu kök kiti de tamamen etkisiz olacaktır çünkü yalnızca diğer kullanıcıların muhtemelen oturum açmayacağı Redis hizmet hesabı için ön yüklemeyi ekleyebilir.”
Açıklama, AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC), yamalanmamış kusurları olan veya güvenliği zayıf olan savunmasız web sunucularının, kripto madencilerini konuşlandırmak için Çince konuşan şüpheli tehdit aktörleri tarafından hedef alındığına ilişkin açıklamalarının ardından geldi.
ASEC, “Uzaktan kontrol, kurulu web kabukları ve NetCat aracılığıyla kolaylaştırılıyor ve RDP erişimini hedefleyen proxy araçlarının kurulumu göz önüne alındığında, tehdit aktörlerinin veri sızdırması belirgin bir olasılık.” söz konusuBehinder, China Chopper, Godzilla, BadPotato, cpolar ve ZilQ.
Bu aynı zamanda Fortinet FortiGuard Labs’ın UNSTABLE, Condi ve Skibidi gibi botnet’lerin, kötü amaçlı yazılım yüklerini ve güncellemelerini geniş bir cihaz yelpazesine dağıtmak için meşru bulut depolama ve bilgi işlem hizmetleri operatörlerini kötüye kullandığına dikkat çekmesiyle de ortaya çıktı.
“Bulut sunucularını kullanma [command-and-control] güvenlik araştırmacıları Cara Lin ve Vincent Li, operasyonların güvenliği ihlal edilmiş cihazlarla sürekli iletişim sağlayarak savunucuların bir saldırıyı engellemesini zorlaştırdığını söylüyor. söz konusu.
