Le botnet de logiciels malveillants peer-to-peer connu sous le nom de P2PInfect cible les serveurs Redis mal configurés avec des mineurs de ransomware et de crypto-monnaie.
Ce développement marque la transition de la menace de ce qui semblait être un botnet dormant aux motivations peu claires vers une opération motivée par des raisons financières.
« Avec ses dernières mises à jour du mineur de crypto, de la charge utile du ransomware et des éléments du rootkit, cela démontre les efforts continus de l’auteur du malware pour profiter de son accès illicite et étendre davantage le réseau, alors qu’il continue de se propager sur Internet », Cado Security dit dans un rapport publié cette semaine.
P2PInfect a été découvert il y a près d’un an et a depuis reçu des mises à jour pour cibler les architectures MIPS et ARM. Début janvier, Nozomi Networks a découvert l’utilisation du malware pour fournir des charges utiles aux mineurs.
Il se propage généralement en ciblant les serveurs Redis et sa fonction de réplication pour transformer les systèmes victimes en un nœud suiveur du serveur contrôlé par l’attaquant, lui permettant ensuite de leur envoyer des commandes arbitraires.
Le ver basé sur Rust dispose également de la capacité d’analyser Internet à la recherche de serveurs plus vulnérables, sans oublier l’intégration d’un module de pulvérisation de mots de passe SSH qui tente de se connecter à l’aide de mots de passe courants.
En plus de prendre des mesures pour empêcher d’autres attaquants de cibler le même serveur, P2PInfect est connu pour modifier les mots de passe d’autres utilisateurs, redémarrer le service SSH avec les autorisations root et même effectuer une élévation de privilèges.
« Comme son nom l’indique, il s’agit d’un botnet peer-to-peer, où chaque machine infectée agit comme un nœud du réseau et maintient une connexion avec plusieurs autres nœuds », a déclaré le chercheur en sécurité Nate Bill.
« Le botnet forme alors un immense réseau maillé, que l’auteur du malware utilise pour diffuser des binaires mis à jour sur le réseau, via un mécanisme de commérage. L’auteur doit simplement avertir un pair, et il informera tous ses pairs et ainsi de suite jusqu’à ce que le nouveau binaire soit entièrement propagé sur le réseau. »
Parmi les nouveaux changements de comportement apportés à P2PInfect, citons l’utilisation du malware pour supprimer les charges utiles des mineurs et des ransomwares, ces derniers étant conçus pour crypter les fichiers correspondant à certaines extensions de fichiers et délivrer une note de rançon invitant les victimes à payer 1 XMR (~ 165 $).
« Comme il s’agit d’une attaque non ciblée et opportuniste, il est probable que les victimes soient de faible valeur, il faut donc s’attendre à un prix bas », a souligné Bill.
Il convient également de noter un nouveau rootkit en mode utilisateur qui utilise la variable d’environnement LD_PRELOAD pour masquer leurs processus et fichiers malveillants aux outils de sécurité, une technique également adoptée par d’autres groupes de cryptojacking comme TeamTNT.
On soupçonne que P2PInfect est présenté comme un service de botnet à louer, agissant comme un canal pour déployer les charges utiles d’autres attaquants en échange d’un paiement.
Cette théorie est renforcée par le fait que les adresses de portefeuille du mineur et du ransomware sont différentes, et que le processus du mineur est configuré pour utiliser autant de puissance de traitement que possible, ce qui l’amène à interférer avec le fonctionnement du ransomware.
« Le choix d’une charge utile de ransomware pour les logiciels malveillants ciblant principalement un serveur qui stocke des données éphémères en mémoire est étrange, et P2Pinfect tirera probablement beaucoup plus de profit de son mineur que de son ransomware en raison de la quantité limitée de fichiers de faible valeur qu’il contient. peut accéder en raison de son niveau d’autorisation », a déclaré Bill.
« L’introduction du rootkit en mode utilisateur est un ajout « bon sur papier » au malware. Si l’accès initial est Redis, le rootkit en mode utilisateur sera également complètement inefficace car il ne peut ajouter que le préchargement pour le compte de service Redis, que d’autres utilisateurs peuvent utiliser. ne se connectera probablement pas en tant que. »
Cette divulgation fait suite aux révélations de l’AhnLab Security Intelligence Center (ASEC) selon lesquelles des serveurs Web vulnérables qui présentent des failles non corrigées ou qui sont mal sécurisés sont ciblés par des acteurs malveillants présumés parlant chinois pour déployer des mineurs de crypto.
« Le contrôle à distance est facilité grâce aux shells Web installés et à NetCat, et étant donné l’installation d’outils proxy destinés à l’accès RDP, l’exfiltration de données par les acteurs malveillants est une possibilité réelle », ASEC ditsoulignant l’utilisation de Behinder, China Chopper, Godzilla, BadPotato, cpolar et AnneauQ.
Cela survient également lorsque Fortinet FortiGuard Labs a souligné que des botnets tels que UNSTABLE, Condi et Skibidi abusent des opérateurs légitimes de stockage dans le cloud et de services informatiques pour distribuer des charges utiles et des mises à jour de logiciels malveillants sur une large gamme d’appareils.
« Utiliser des serveurs cloud pour [command-and-control] « Les opérations garantissent une communication persistante avec les appareils compromis, ce qui rend plus difficile pour les défenseurs de perturber une attaque », chercheurs en sécurité Cara Lin et Vincent Li. dit.