Des chercheurs en cybersécurité ont découvert une nouvelle variante d’un botnet émergent appelé P2PInfect capable de cibler les routeurs et les appareils IoT.
La dernière version, selon Cado Security Labs, est compilée pour les microprocesseurs sans étapes pipeline interverrouillées (MIPS), élargissant ainsi ses capacités et sa portée.
« Il est fort probable qu’en ciblant MIPS, les développeurs de P2PInfect aient l’intention d’infecter les routeurs et les appareils IoT avec le malware », a déclaré le chercheur en sécurité Matt Muir. dit dans un rapport partagé avec The Hacker News.
P2PInfect, un malware basé sur Rust, a été divulgué pour la première fois en juillet 2023, ciblant les instances Redis non corrigées en exploitant une vulnérabilité critique d’échappement du bac à sable Lua (CVE-2022-0543score CVSS : 10,0) pour l’accès initial.
Apprenez à détecter les menaces internes avec les stratégies de réponse des applications
Découvrez comment la détection des applications, la réponse et la modélisation automatisée du comportement peuvent révolutionner votre défense contre les menaces internes.
Une analyse ultérieure réalisée par la société de sécurité cloud en septembre a révélé une augmentation de l’activité de P2PInfect, coïncidant avec la publication de variantes itératives du malware.
Les nouveaux artefacts, en plus de tenter de mener des attaques par force brute SSH sur des appareils équipés de processeurs MIPS 32 bits, intègrent des techniques d’évasion et d’anti-analyse mises à jour pour passer inaperçues.
Les tentatives de force brute contre les serveurs SSH identifiés lors de la phase d’analyse sont effectuées à l’aide de paires de nom d’utilisateur et de mot de passe communes présentes dans le binaire ELF lui-même.
On soupçonne que les serveurs SSH et Redis sont des vecteurs de propagation de la variante MIPS, car il est possible d’exécuter un serveur Redis sur MIPS à l’aide d’un package OpenWrt appelé serveur Redis.
L’une des méthodes d’évasion notables utilisées est une vérification pour déterminer s’il est en cours d’analyse et, si c’est le cas, se terminer, ainsi qu’une tentative de désactivation. Vidages de mémoire Linuxqui sont des fichiers générés automatiquement par le noyau après un crash inattendu d’un processus.
La variante MIPS comprend également un module DLL Windows 64 bits intégré pour Redis qui permet l’exécution de commandes shell sur un système compromis.
« Non seulement il s’agit d’un développement intéressant dans la mesure où il démontre un élargissement du champ d’action pour les développeurs derrière P2PInfect (plus d’architectures de processeur prises en charge équivaut à plus de nœuds dans le botnet lui-même), mais l’échantillon MIPS32 inclut des techniques notables d’évasion de la défense », a déclaré Cado.
« Ceci, combiné à l’utilisation de Rust par le malware (facilitant le développement multiplateforme) et à la croissance rapide du botnet lui-même, renforce les suggestions précédentes selon lesquelles cette campagne est menée par un acteur malveillant sophistiqué. »