Un botnet malveillant avec des caractéristiques de type ver s'attaque à l'outil de stockage Redis populaire

Un groupe de pirates non identifié a lancé une attaque utilisant une souche unique et remarquable de logiciels malveillants ciblant les déploiements Redis accessibles au public. Redis est le choix populaire des grandes entreprises comme Amazon, Hulu et Tinder pour le stockage de données. La caractéristique la plus frappante du logiciel malveillant est son comportement de type ver, lui permettant de se propager ou de se répliquer à travers les systèmes sans intervention humaine après avoir obtenu l'accès à un réseau, comme l'ont souligné les chercheurs.

Les chercheurs en sécurité ont récemment rencontré une souche préoccupante de malware appelée « P2Pinfect ». Sa remarquable capacité à se propager et à infecter de manière autonome d'autres déploiements Redis vulnérables a attiré leur attention. Ce comportement d'auto-propagation soulève des inquiétudes importantes car il peut permettre au logiciel malveillant d'étendre rapidement sa portée et son impact. Malgré leur enquête approfondie, les chercheurs n'ont pas encore identifié les cibles spécifiques de ce malware de type botnet, laissant le but de son déploiement entouré de mystère. Les ramifications potentielles d'une menace aussi avancée et autonome ont soulevé des signaux d'alarme dans la communauté de la cybersécurité, justifiant une analyse et une vigilance plus approfondies pour se protéger contre d'éventuelles attaques.

L'unité 42 de Palo Alto a analysé la campagne de piratage et son rapport, publié le 19 juillet, a révélé l'utilisation par le logiciel malveillant de CVE-2022-0543 pour réquisitionner les applications Redis et les assimiler à un botnet. Ce botnet comprend une collection d'ordinateurs infectés sous le contrôle du pirate. Alors que la même vulnérabilité a déjà été exploitée pour assimiler des appareils au botnet Muhstik en 2022 , le dernier malware, P2PInfect, semble être associé à un réseau malveillant distinct et n'est pas lié à Muhstik, selon les conclusions de l'Unité 42.
Le rapport s'aligne sur la plupart des conclusions de l'Unité 42, révélant que le logiciel malveillant est codé dans le langage de programmation Rust et tente d'infecter d'autres hôtes une fois connecté au botnet.

Cependant, il a été découvert deux distinctions notables. Premièrement, l'échantillon de malware analysé par leurs chercheurs n'a pas exploité CVE-2022-0543 comme point d'accès initial. Deuxièmement, P2Pinfect ciblait à la fois les instances Redis Windows et Linux. Ils ont noté que l'utilisation du langage de programmation Rust permettait au logiciel malveillant de fonctionner à la fois sur les plates-formes Windows et Linux, tout en rendant difficile l'analyse du code par les analystes. Le but et l'identité de ceux qui se cachent derrière le malware restent flous. Bien que les systèmes compromis extraient un "fichier de mineur", il ne semble pas effectuer de tâches de crypto-minage. Ce "mineur" pourrait potentiellement servir d'espace réservé pour la future distribution de crypto-minage par l'acteur de la menace. De même, l'Unité 42 a observé des instances du mot "mineur" dans la boîte à outils menaçante de P2PInfect, mais n'a pas trouvé de preuves concluantes d'opérations de crypto-minage.

Le malware a un double objectif. Premièrement, il permet aux pirates de protéger le serveur Redis des autres acteurs de la menace qui tentent de le compromettre tout en garantissant que le serveur continue de fonctionner légitimement, évitant ainsi la détection par ses propriétaires. Lors de l'infection, le serveur compromis devient un constituant d'un botnet peer-to-peer. Cette configuration permet une communication transparente entre tous les nœuds de botnet sans avoir besoin d'un serveur Ccommand-and-Control (C2) centralisé. Les chercheurs suggèrent que les commandes se déploient en transmettant des messages signés sur le réseau. Le logiciel malveillant cible des hôtes supplémentaires pour propager l'infection en rassemblant une liste d'utilisateurs, d'adresses IP et de clés d'accès pour le protocole de communication réseau SSH. Une fois qu'un nouvel hôte a obtenu l'accès, le logiciel malveillant se réplique comme s'il avait initialement infecté le serveur compromis. Cela implique de récupérer une copie de lui-même à partir du serveur HTTP intégré et de l'exécuter avec une liste de nœuds comme argument, étendant ainsi sa portée à d'autres systèmes vulnérables.

Un botnet malveillant avec des caractéristiques de type ver s'attaque à l'outil de stockage Redis populaire captures d'écran