Investigadores de ciberseguridad han descubierto un nuevo gusano dirigido a la nube, peer-to-peer (P2P) llamado P2PInfect que se dirige a instancias vulnerables de Redis para la explotación de seguimiento.
«P2PInfect explota los servidores Redis que se ejecutan en los sistemas operativos Linux y Windows, lo que lo hace más escalable y potente que otros gusanos», los investigadores de la Unidad 42 de Palo Alto Networks, William Gamazo y Nathaniel Quist. dicho. «Este gusano también está escrito en Rust, un lenguaje de programación altamente escalable y compatible con la nube».
Se estima que hasta 934 sistemas Redis únicos pueden ser vulnerables a la amenaza. La primera instancia conocida de P2PInfect se detectó el 11 de julio de 2023.
Una característica notable del gusano es su capacidad para infectar instancias vulnerables de Redis al explotar una vulnerabilidad crítica de escape de Lua sandbox, CVE-2022-0543 (puntuación CVSS: 10,0), que se ha explotado previamente para ofrecer múltiples familias de malware como Muhstik, Redigo y HeadCrab durante el último año.
Luego, el acceso inicial proporcionado por una explotación exitosa se aprovecha para entregar una carga útil de cuentagotas que establece una comunicación punto a punto (P2P) a una red P2P más grande y obtiene archivos binarios maliciosos adicionales, incluido el software de escaneo para propagar el malware a otros hosts Redis y SSH expuestos.
«La instancia infectada luego se une a la red P2P para brindar acceso a las otras cargas útiles a futuras instancias de Redis comprometidas», dijeron los investigadores.
El malware también utiliza un script de PowerShell para establecer y mantener la comunicación entre el host comprometido y la red P2P, ofreciendo acceso persistente a los actores de amenazas. Además, el sabor de Windows de P2PInfect incorpora un componente de Monitor para autoactualizarse y lanzar la nueva versión.
No se sabe de inmediato cuál es el objetivo final de la campaña, ya que Unit 42 señaló que no hay evidencia definitiva de cryptojacking a pesar de la presencia de la palabra «minero» en el código fuente del kit de herramientas.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
La actividad no se ha atribuido a ningún grupo de actores de amenazas conocidos por atacar entornos de nube como Adept Libra (también conocido como TeamTNT), Aged Libra (también conocido como Rocke), Automated Libra (también conocido como PURPLEURCHIN), Money Libra (también conocido como Kinsing), Returned Libra (también conocido como 8220 Gang) o Thief Libra (también conocido como WatchDog).
El desarrollo viene como activos en la nube mal configurados y vulnerables están siendo descubiertos en cuestión de minutos por malos actores que escanean constantemente Internet para montar ataques sofisticados.
«El gusano P2PInfect parece estar bien diseñado con varias opciones de desarrollo moderno», dijeron los investigadores. «El diseño y la construcción de una red P2P para llevar a cabo la autopropagación de malware no es algo que se vea comúnmente dentro del panorama de las amenazas de criptojacking o la orientación a la nube».