Botnet-Malware mit wurmähnlichen Eigenschaften nimmt das beliebte Redis Storage Tool ins Visier

Eine nicht identifizierte Hackergruppe hat einen Angriff mit einem einzigartigen und bemerkenswerten Malware-Typ gestartet, der auf öffentlich zugängliche Redis-Bereitstellungen abzielt. Redis ist die beliebte Wahl großer Unternehmen wie Amazon, Hulu und Tinder für die Datenspeicherung. Das auffälligste Merkmal der Malware ist ihr wurmartiges Verhalten, das es ihr ermöglicht, sich ohne menschliches Eingreifen selbst zu verbreiten oder systemübergreifend zu replizieren, nachdem sie Zugriff auf ein Netzwerk erhalten hat, wie Forscher hervorheben.

Sicherheitsforscher sind kürzlich auf einen besorgniserregenden Malware-Typ namens „ P2Pinfect “ gestoßen. Seine bemerkenswerte Fähigkeit, andere anfällige Redis-Bereitstellungen autonom zu verbreiten und zu infizieren, erregte ihre Aufmerksamkeit. Dieses Selbstverbreitungsverhalten gibt Anlass zu erheblichen Bedenken, da es der Malware ermöglichen kann, ihre Reichweite und Wirkung schnell zu vergrößern. Trotz ihrer umfassenden Untersuchung haben die Forscher die spezifischen Ziele dieser Botnet-ähnlichen Malware noch nicht identifiziert, so dass der Zweck ihres Einsatzes im Dunkeln liegt. Die potenziellen Auswirkungen einer derart fortschrittlichen und autonomen Bedrohung haben in der Cybersicherheitsgemeinschaft Alarmglocken läuten lassen und erfordern weitere Analysen und Wachsamkeit zum Schutz vor möglichen Angriffen.

Palo Altos Unit 42 analysierte die Hacking-Kampagne und ihr am 19. Juli veröffentlichter Bericht enthüllte, dass die Malware CVE-2022-0543 nutzte, um Redis-Anwendungen zu übernehmen und sie in ein Botnetz zu integrieren. Dieses Botnetz besteht aus einer Ansammlung infizierter Computer unter der Kontrolle des Hackers. Während dieselbe Schwachstelle bereits im Jahr 2022 ausgenutzt wurde, um Geräte in das Muhstik-Botnetz zu integrieren, scheint die neueste Malware, P2PInfect, mit einem bestimmten böswilligen Netzwerk in Verbindung zu stehen und nicht mit Muhstik in Verbindung zu stehen, so die Erkenntnisse von Unit 42.
Der Bericht stimmt mit vielen Erkenntnissen von Unit 42 überein und zeigt, dass die Malware in der Programmiersprache Rust codiert ist und versucht, andere Hosts zu infizieren, sobald sie mit dem Botnetz verbunden sind.

Es wurden jedoch zwei bemerkenswerte Unterschiede entdeckt. Erstens nutzte die von ihren Forschern analysierte Malware-Probe CVE-2022-0543 nicht als ersten Zugangspunkt aus. Zweitens zielte P2Pinfect sowohl auf Windows- als auch auf Linux-Redis-Instanzen ab. Sie stellten fest, dass die Verwendung der Programmiersprache Rust es der Malware ermöglichte, sowohl auf Windows- als auch auf Linux-Plattformen zu funktionieren, während es für Analysten schwierig war, den Code zu analysieren. Der Zweck und die Identität der Hintermänner der Malware bleiben unklar. Obwohl kompromittierte Systeme eine „Miner-Datei“ abrufen, scheint diese keine Krypto-Mining-Aufgaben auszuführen. Dieser „Miner“ könnte möglicherweise als Platzhalter für die zukünftige Verbreitung von Krypto-Mining durch den Bedrohungsakteur dienen. In ähnlicher Weise beobachtete Einheit 42 Vorkommen des Wortes „Miner“ im Bedrohungs-Toolkit von P2PInfect, fand jedoch keine schlüssigen Beweise für Krypto-Mining-Operationen.

Die Malware hat einen zweifachen Zweck. Erstens ermöglicht es Hackern, den Redis-Server vor anderen Bedrohungsakteuren zu schützen, die versuchen, ihn zu kompromittieren, und stellt gleichzeitig sicher, dass der Server weiterhin rechtmäßig funktioniert, sodass er nicht von seinen Besitzern entdeckt wird. Bei einer Infektion wird der kompromittierte Server zu einem Bestandteil eines Peer-to-Peer-Botnetzes. Diese Konfiguration ermöglicht eine nahtlose Kommunikation zwischen allen Botnet-Knoten, ohne dass ein zentraler Command-and-Control-Server (C2) erforderlich ist. Forscher schlagen vor, dass Befehle durch die Übertragung signierter Nachrichten über das Netzwerk verteilt werden. Die Malware zielt auf weitere Hosts ab, um die Infektion zu verbreiten, indem sie eine Liste von Benutzern, IP-Adressen und Zugriffsschlüsseln für das SSH-Netzwerkkommunikationsprotokoll sammelt. Sobald ein neuer Host Zugriff erhält, repliziert sich die Malware, als hätte sie ursprünglich den kompromittierten Server infiziert. Dazu muss eine Kopie von sich selbst vom integrierten HTTP-Server abgerufen und mit einer Knotenliste als Argument ausgeführt werden, wodurch die Reichweite auf andere anfällige Systeme ausgeweitet wird.

Botnet-Malware mit wurmähnlichen Eigenschaften nimmt das beliebte Redis Storage Tool ins Visier Screenshots