P2Pinfect sada isporučuje ransomware

AUTOR ·

Sajber okruženje se stalno razvija, sa pojavom novih prijetnji i povratkom starih sa novim mogućnostima. P2Pinfect je jedan takav zlonamjerni softver koji je nedavno napravio povratak. U početku poznat po mogućnostima svoje botnet mreže ravnopravnih računara (eng. peer-to-peer – P2P), ovaj sofisticirani zlonamjerni softver je sada evoluirao tako da uključuje ransomware i funkcionalnosti kripto rudarenja.

P2Pinfect

P2Pinfect sada isporučuje ransomware; Source: Bing Image Creator

P2PINFECT

P2Pinfect je zlonamjerni softver koji su prvi otkrili sigurnosni istraživači Cado Security u julu 2023. tokom analize telemetrije medene zamke (eng. honeypot). Vjeruje se da je kampanja počela 23. juna na osnovu TLS certifikata koji se koristi za komandnu i kontrolnu (C2) komunikaciju. U početku, P2Pinfect se širio prvenstveno preko Redis servera i ograničenog SSH predajnika, ali izgleda da nije imao drugi cilj osim širenja.

P2Pinfect je bio poznat po svojim mogućnostima botnet mreže ravnopravnih računara (P2P). To je značilo da će zaraženi čvorovi komunicirati jedni sa drugima direktno bez potrebe za centralizovanim komandnim i kontrolnim serverom. Implikacije ovog dizajna su bile značajne, jer je mnogo otežavao otkrivanje i ublažavanje pretnje.

Nedavno je, međutim, došlo do novog ažuriranja za P2Pinfect koje uvodi funkcije kripto rudarenja i ransomware zlonamjernog softvera. Ovaj zlonamjerni softver cilja Redis servere tako što iskorištava njihove funkcije replikacije u distribuiranim klasterima sa topologijom lider/sljedbenik. Napadači pokušavaju da pretvore Redis čvorove u sljedbenike servera koji kontroliše napadač, omogućavajući im da izvršavaju proizvoljne komande i na kraju dobiju izvršenje kôda na tim čvorovima.

 

Redis eksploatacija i početni pristup

Redis je popularno skladište strukture podataka u memoriji koje je široko prihvaćeno za upotrebu kao baza podataka, keš memorija i posrednik poruka. Njegova fleksibilnost i lakoća primene čine ga atraktivnim izborom za mnoge organizacije, ali ova popularnost takođe čini Redis servere glavnim metama za napadače koji žele da iskoriste ranjivosti ili dobiju neovlašćeni pristup.

P2Pinfect iskorištava Redis ranjivost skladišta strukture podataka u memoriji otvorenog kôda koje brojne organizacije širom sveta koriste. Zlonamjerni softver koristi naredbu SLAVEOF da pretvori Redis čvorove u sljedbenike servera koji kontroliše napadač – poznat i kao glavni čvor. Na taj način omogućava napadaču da izvrši proizvoljne komande na zaraženim sistemima.

Ranjivost koju P2Pinfect iskorištava je CVE-2022-0543, koja ima CVSS ocjenu 10,0 od 10. Ova kritična ocjena ozbiljnosti ukazuje na to da ranjivost može lako i automatski da se iskoristi od strane napadača sa malo ili bez znanja ili resursa. Redis funkcija replikacije se koristi za redundantnost podataka i visoku dostupnost; međutim, takođe čini ove sisteme ranjivim na napade kao što je P2Pinfect. Između 1. avgusta i 30. septembra 2023. godine, Cado Security je prijavio značajan porast P2Pinfect saobraćaja, sa hiljadama pokušaja provale nedjeljno.

 

Rootkit korisničkog režima

Da bi postigao postojanost na kompromitovanom sistemu, P2Pinfect koristi karakteristike dinamičkog povezivača u Linux sistemima. Rootkit ubrizgava sopstvenu biblioteku u proces učitavanja određenih izvršnih datoteka tako što modifikuje njihove datoteke tako da uključuju putanju za prethodno učitavanje rootkit biblioteke. Ovo osigurava da kad god se pokreću ovi specifične izvršne datoteke, oni prvo učitavaju i izvršavaju zlonamerni kôd sadržan u rootkit biblioteci.

Primarni rootkit cilj je da sakrije kritične sistemske informacije ili procese od korisnika i bezbednosnih alata presretanjem njihovih poziva i manipulisanjem njihovim izlazima. Pored toga, možda će moći da maskira prisustvo zlonamernih procesa koji se pokreću na sistemu ili da sakrije mrežne veze napravljene za eksfiltraciju podataka.

Međutim, važno je napomenuti da ova rootkit funkcija možda neće biti efikasna u svim scenarijima i protiv svih korisnika. Svjesni korisnici koji sumnjaju da su njihovi sistemi kompromitovani mogu lako da uklone predučitavanje uređujući datoteke ili koristeći alternativne metode kao što su preimenovanje ili brisanje rootkit biblioteke. Štaviše, bezbjednosna rješenja koja koriste tehnike analize ponašanja možda i dalje mogu da otkriju i blokiraju ovu vrstu rootkit aktivnosti na osnovu anomalnih sistemskih poziva ili obrazaca mrežnog saobraćaja.

Uvođenje rootkit korisničkog režima je samo jedna komponenta u strategiji višestrukog napada koju koristi P2Pinfect. Zlonamerni softver takođe uključuje mogućnosti kripto rudarenja, koje mogu da generišu prihod za svoje kreatore iskorišćavanjem računarske snage kompromitovanih sistema za rudarenje različitih kriptovaluta. Pored toga, sada nosi ransomware teret koji šifruje datoteke na zaraženim hostovima i zahteva plaćanje u zamenu za ključeve za dešifrovanje.

 

Kripto rudar

P2Pinfect kripto rudar je dizajniran da ostane u stanju mirovanja dok ne prođe otprilike pet minuta od pokretanja glavnog korisnog tereta. Ovo kašnjenje u aktivaciji čini izazovnijim za bezbednosne timove i analitičare obaveštajnih podataka o pretnjama da otkriju i efikasno odgovore na ovu vrstu napada.

Sam proces rudarenja uključuje korišćenje računarske moći zaraženog sistema za rešavanje složenih matematičkih problema kao dio veće distribuirane mreže koja se zove botnet. Rudar koristi unapred konfigurisane adrese novčanika i skupove za slanje iskopanih Monero novčića, što otežava istraživačima ili bezbednosnim timovima da prate nezakonitu zaradu do njihovog izvora.

 

Ransomware

Počevši od 16. maja 2024. godine, P2Pinfect zaraženi uređaji počeli su da primaju komande od svojih napadača da preuzmu i pokreću ransomware korisni teret pod nazivom rsagen sa određene internet adrese adrese. Komanda aktivno važi do 17. decembra 2024. godine. Po pokretanju, ransomware binarno provjerava postojanje napomene o otkupnini (Your data has been locked!.txt) u ciljnom direktorijumu kako bi izbjegao ponovno šifrovanje kompromitovanih sistema i izazivanje nepotrebne štete.

Ransomware šifruje datoteke sa određenim ekstenzijama koje se odnose na baze podataka (SQL, SQLITE3, DB), dokumente (DOC, XLS), medijske datoteke (MP3, WAV, MKV) i druge formate datoteka kao što su py, pfx, wavpack, bz2, zip, rar, 7z, tarbz2, gzip, arj, lzh, ape, flac, ogg, opus, spx, au, ra, shn, wavpack, tta, mka, aiff, waveex, applegain i još mnogo toga. Zlonamjerni softver zatim dodaje ekstenziju “.encrypted” šifrovanim datotekama. Poruka o otkupnini koju ostavlja P2Pinfect zahteva da korisnici plate naknadu u zamjenu za primanje tokena za dešifrovanje od napadača.

 

ZAKLJUČAK

P2Pinfect je sofisticirana kampanja zlonamernog softvera koja može da izazove značajnu štetu ako se ne zanemari. Sposobnost zlonamjernog softvera da se širi preko Redis servera iskorišćavanjem njihovih karakteristika replikacije čini ga posebno opasnim, jer se ovi sistemi često zanemaruju u bezbednosnim procenama zbog njihove uloge prvenstveno baze podataka ili keša.

P2Pinfect pokazuje napore autora da profitira od svog nezakonitog pristupa dodavanjem novih korisnih tereta kao što su ransomware, kripto rudar i rootkit elementi. Međutim, čudan je izbor da zlonamerni softver na strani servera kao što je Redis koristi ransomware zbog svoje ograničene mogućnosti pristupa datotekama male vrednosti. Rootkit uvođenje korisničkog režima je efikasno u skrivanju binarnih datoteka, ali ga korisnici koji postanu svesni njegovog postojanja lako mogu ukloniti.

 Uz snažnu kontrolu pristupa, redovnu primjenu ispravki i proaktivno praćenje, organizacije mogu značajno smanjiti rizik da postanu žrtve ove pretnje. Pored toga, angažovanje spoljnih timova za reagovanje na incidente za pomoć kada je to potrebno može pomoći da se osigura da se svaka potencijalna šteta obuzda i efikasno ublaži. Važno je zapamtiti da nijedan sistem ili mreža nije potpuno bezbedan, ali praćenjem najboljih praksi i informisanjem o novim pretnjama kao što je P2Pinfect, organizacije mogu značajno da poboljšaju svoje šanse da otkriju i reaguju na incidente pre nego što izazovu značajnu štetu.

 

ZAŠTITA

Za efikasnu zaštitu od zlonamernog softvera P2Pinfect, organizacije i pojedinci treba da primene višeslojni bezbednosni pristup. Evo osnovnih koraka za osiguranje vaših sistema:

  1. Uveriti se da su svi Redis serveri ažurirani sa najnovijim ispravkama i konfiguracijama. Redovno provjeravati da li postoje nova izdanja i odmah primeniti ažuriranja. Ovo će pomoći da se spreči da napadači iskoriste poznate ranjivosti,
  2. Koristite robusna antivirusna rješenja na svojim sisteme, uključujući zaštitu krajnjih tačaka i alatke za bezbjednost mreže. Ova rješenja bi trebalo redovno da se ažuriraju kako bi zaštitila uređaje od najnovijih prijetnji,
  3. Redovno praviti rezervne kopije podataka i čuvati ih bezbedno van lokacije ili u usluzi u oblaku sa jakom enkripcijom. U slučaju da su sistemi ugroženi P2Pinfect ili bilo kojim drugim zlonamernim softverom, nedavne rezervne kopije će pomoći da se smanji šteta i omogući brz oporavak,
  4. Obučiti zaposlene najboljim praksama za korišćenje elektronske pošte, pregledanje interneta i rukovanja osetljivim podacima kako bi se samnjio rizik od zaraze preko phishing napada ili drugih taktika društvenog inženjeringa koje koristi P2Pinfect,
  5. Implementirati jake lozinke i dvofaktorsku autentifikaciju (eng. two-factor authentication – 2FA) za sve naloge. Pored toga, ograničite broj dozvoljenih pokušaja prijavljivanja u minuti da bi se spriječili napadi grube sile (eng. brute force) koristeći uobičajene lozinke,
  6. Podestiti sisteme za otkrivanje upada (eng. intrusion detection systems – IDS) i zaštitne zidove za nadgledanje mreže u potrazi za neuobičajenim aktivnostima ili poznatim zlonamernim obrascima povezanim sa P2Pinfect zlonamjernim softverom. Ovo će pomoći da se otkriju potencijalne infekcije i na njih odgovori pre nego što se prošire na ostatak infrastrukture,
  7. Koristiti kontrolu pristupa zasnovanu na ulozi (eng. role-based access control – RBAC) i principe najmanje privilegija da bi se ograničila površna napada na sisteme. Davanjem samo neophodnih dozvola, moguće je smanjiti uticaj ako napadač uspe da kompromituje korisnički nalog ili uslugu,
  8. Vršiti redovne bezbednosne procene i testiranje penetracije na infrastrukturi da bi se identifikovale sve potencijalne slabosti koje bi mogao da iskoristi P2Pinfect ili drugi zlonamjerni softver. Uočene probleme rješavati brzo, dajući prioritet onima sa najvećim rizikom i uticajem,

 

Prateći ove korake, organizacije i pojedinci mogu značajno smanjiti vjerovatnoću da postanu žrtva rastućih prijetnji koje predstavljaju P2Pinfect i slične porodice zlonamjernog softvera. Potrebno je zapamtiti da je sajber bezbjednost proces koji je u toku, koji zahteva stalnu budnost i proaktivne mjere da biste ostali zaštićeni u današnjem okruženju prijetnji koje se stalno mijenja.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.