Le ver peer-to-peer (P2) connu sous le nom de P2PInfect a connu une forte augmentation de son activité depuis fin août 2023, avec un bond de 600 fois entre le 12 et le 19 septembre 2023.
« Cette augmentation du trafic de P2PInfect a coïncidé avec un nombre croissant de variantes observées dans la nature, ce qui suggère que les développeurs du malware opèrent à une cadence de développement extrêmement élevée », a déclaré Matt Muir, chercheur en sécurité chez Cado. dit dans un rapport publié mercredi.
La majorité des compromissions ont été signalées en Chine, aux États-Unis, en Allemagne, au Royaume-Uni, à Singapour, à Hong Kong et au Japon.
P2PInfect a été révélé pour la première fois en juillet 2023 pour sa capacité à pirater des instances Redis mal sécurisées. Les auteurs de la campagne ont depuis recouru à différentes approches pour l’accès initial, notamment en abusant de la fonction de réplication de la base de données pour diffuser le malware.
Cado Security a déclaré avoir observé une augmentation des événements d’accès initiaux attribuables à P2PInfect dans lesquels la commande Redis SLAVEOF est émise par un nœud contrôlé par un acteur vers une cible pour permettre la réplication.
Ceci est suivi par la livraison d’un module Redis malveillant à la cible, qui, à son tour, exécute une commande pour récupérer et lancer la charge utile principale, après quoi une autre commande shell est exécutée pour supprimer le module Redis du disque et désactiver la réplication. .
L’une des nouvelles fonctionnalités des variantes les plus récentes est l’ajout d’un mécanisme de persistance qui exploite une tâche cron pour lancer le malware toutes les 30 minutes. De plus, il existe désormais une méthode secondaire qui récupère une copie du binaire du malware auprès d’un homologue et l’exécute. doit-il être supprimé ou le processus principal est terminé.
P2PInfect écrase en outre les fichiers SSH approved_keys existants par une clé SSH contrôlée par l’attaquant, empêchant ainsi les utilisateurs existants de se connecter via SSH.
« La charge utile principale parcourt également tous les utilisateurs du système et tente de modifier leurs mots de passe utilisateur en une chaîne préfixée par Pa_ et suivie de 7 caractères alphanumériques (par exemple Pa_13HKlak) », a déclaré Muir. Cette étape nécessite toutefois que le malware dispose d’un accès root.
Niveau de sécurité SaaS : un guide complet sur l’ITDR et le SSPM
Gardez une longueur d’avance grâce à des informations exploitables sur la manière dont l’ITDR identifie et atténue les menaces. Découvrez le rôle indispensable de SSPM pour garantir que votre identité reste inviolable.
Malgré la sophistication croissante des logiciels malveillants, les objectifs exacts de P2PInfect ne sont pas clairs. Cado Security a déclaré avoir observé le malware tentant de récupérer une charge utile de mineur de crypto, mais il n’y a aucune preuve de cryptomining à ce jour.
« Il est clair que les développeurs de P2PInfect s’engagent à maintenir et à réitérer les fonctionnalités de leurs charges utiles malveillantes, tout en étendant simultanément le botnet à travers les continents et les fournisseurs de cloud à un rythme rapide », a déclaré Muir.
« On s’attend à ce que les responsables du botnet attendent d’implémenter des fonctionnalités supplémentaires dans la charge utile du mineur ou aient l’intention de vendre l’accès au botnet à d’autres individus ou groupes. »