Logiciel malveillant P2Pinfect

Les acteurs de la menace mènent des attaques sur des instances vulnérables de SSH et de Redis, un magasin de données open source. Ces acteurs frauduleux utilisent un ver auto-répliquant peer-to-peer connu sous le nom de P2Pinfect, qui a des versions conçues pour les systèmes d'exploitation Windows et Linux.

Développé dans le langage de programmation Rust, le malware P2Pinfect utilise au moins deux méthodes pour obtenir un accès initial aux systèmes cibles. La première méthode exploite une vulnérabilité critique qui a été révélée et corrigée en 2022. La deuxième méthode tire parti d'une fonctionnalité de Redis qui permet la réplication de la base de données principale pour une haute disponibilité améliorée et pour contrer les scénarios de basculement.

Le logiciel malveillant P2Pinfect utilise différents vecteurs d'infection

Initialement, P2PInfect a capitalisé sur une vulnérabilité critique identifiée comme CVE-2022-0543, qui avait un score de gravité maximum de 10 sur 10. Cette faille de sécurité affectait spécifiquement les systèmes Debian et concernait une vulnérabilité d'échappement de bac à sable LUA résultant d'un problème d'empaquetage. L'exploitation de cette vulnérabilité a accordé des capacités d'exécution de code à distance, ce qui représente une menace importante pour les systèmes concernés.

Une fois qu'une instance Redis vulnérable est compromise à l'aide d'une charge utile initiale, P2PInfect procède au téléchargement de nouveaux scripts et de fichiers binaires malveillants adaptés au système d'exploitation spécifique. De plus, le serveur infecté est inscrit dans la liste des systèmes compromis du logiciel malveillant. Par la suite, le logiciel malveillant intègre le serveur infecté dans son réseau peer-to-peer, facilitant la diffusion de charges utiles malveillantes vers les futurs serveurs Redis compromis.

Les chercheurs enquêtant sur P2PInfect ont également découvert un échantillon démontrant une compatibilité multiplateforme, indiquant que le logiciel malveillant a été conçu pour cibler à la fois les environnements Windows et Linux. Cet exemple particulier contenait des binaires Portable Executable (PE) et ELF, lui permettant de fonctionner de manière transparente sur les deux systèmes d'exploitation. Fait intéressant, cette variante utilisait une méthode différente d'accès initial, tirant parti de la fonctionnalité de réplication Redis, qui permet la génération de répliques exactes de l'instance Redis principale/principale.

Le logiciel malveillant P2Pinfect se propage et ajoute les systèmes compromis à un botnet

La charge utile principale du logiciel malveillant est un binaire ELF, intelligemment écrit dans une combinaison de langages de programmation C et Rust. Lors de l'exécution, il déclenche le composant Rust de la charge utile pour prendre le relais.

Une fois activé, le binaire procède à des modifications critiques de la configuration SSH sur l'hôte ciblé. Il modifie la configuration du serveur OpenSSH pour qu'elle ressemble à un état proche de celui par défaut, accordant à l'attaquant l'accès au serveur via le protocole Secure Shell (SSH) et permettant l'authentification par mot de passe. Ensuite, l'auteur de la menace redémarre le service SSH et ajoute une clé SSH à la liste des clés autorisées pour l'utilisateur actuel, garantissant un accès sans entrave au système compromis.

Dans la phase suivante, l'attaquant déploie un script bash pour manipuler les noms des binaires wget et curl. Le script vérifie également la présence d'utilitaires spécifiques et les installe s'ils ne sont pas déjà disponibles. L'utilisation d'un utilitaire de pare-feu semble être une mesure employée par le logiciel malveillant pour protéger le serveur Redis vulnérable des autres attaquants potentiels. Le logiciel malveillant établit la persistance sur l'hôte compromis, assurant son fonctionnement continu.

Par la suite, le serveur infecté est équipé d'au moins un binaire capable d'analyser le répertoire /proc et d'accéder aux statistiques de chaque processus qu'il contient. De plus, le binaire peut surveiller activement le répertoire /proc pour tout changement.

De plus, le binaire possède la capacité de mettre à niveau le binaire primaire du malware et de l'exécuter si la signature actuelle ne correspond pas à celle récupérée du botnet.

En traitant chaque serveur Redis compromis comme un nœud, P2PInfect transforme le réseau en un botnet peer-to-peer. Ce botnet fonctionne sans avoir besoin d'un serveur de commande et de contrôle (C2) centralisé, ce qui lui permet de recevoir des instructions de manière autonome.