آبان ۳۰, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

شبکه‌ی بات P2PInfect با استفاده از Ransomware، سرورهای REdis را هدف قرار داده است.

P2PInfect، که ابتدا یک بات malware خاموش با اهداف نامشخص بود، حالا برای انجام حملات به سرورهای Redis، از یک ماژول ransomware و یک cryptominer استفاده می‌کند.

به گفته Cado Security که مشغول تحقیقات بر روی  P2PInfect  می باشد، شواهدی وجود دارد که نرم‌افزار مخرب به عنوان ” botnet  برای اجاره” عمل می‌کند

معرفی و توضیحات کلی P2PInfect

P2PInfect برای اولین بار در ژوئیه ۲۰۲۳ توسط محققان واحد ۴۲، با هدف حمله به سرورهای Redis با استفاده از آسیب‌پذیری‌های شناخته شده، مورد مستندسازی قرار گرفت.

تجزیه و تحلیل بعدی امنیتی Cado نشان داد که این نرم‌افزار مخرب از ویژگی تکثیر Redis برای گسترش خود استفاده می کند.

بین ماه‌های آگوست و سپتامبر ۲۰۲۳، P2PInfect فعالیت خود را به طور قابل توجهی افزایش داد و در عین حال ویژگی‌های جدیدی مانند مکانیسم‌های cron-based persistence ، سیستم‌های ارتباط پشتیبانی و قفل کردن SSH معرفی کرد.

علیرغم آن فعالیت بالا، P2PInfect هیچ گونه اقدام مخربی را بر روی سیستم های در معرض خطر انجام نداد، بنابراین اهداف عملیاتی آن مبهم باقی ماندند.

در دسامبر ۲۰۲۳، تحلیلگران Cado نسخه جدیدی از P2PInfect را کشف کردند که طراحی شده بود تا به پردازنده‌های ۳۲ بیتی MIPS (Microprocessor without Interlocked Pipelined Stages) که در روترها و دستگاه‌های IoT یافت می‌شوند، حمله کند.

ماژول های جدید، اهداف نامشخص

پس از راه‌اندازی، باج‌افزار یک فایل یادداشت برای جلوگیری از رمزگذاری دوباره سیستم‌های قرار می دهد و ، بررسی می‌کند که آیا یادداشت اجرا شده وجود دارد یا خیر.

این بدافزار (ransomware) از طریق تمام دایرکتوری‌ها حرکت می‌کند، فایل‌ها را رمزگذاری می‌کند و یک پایگاه داده از فایل‌های رمزگذاری شده را در یک فایل موقت با پسوند ‘.lockedfiles’ ذخیره می‌کند.

تأثیرات ماژول بدافزار این ابزار، به دلیل سطح دسترسی محدود کاربر Redis تنها به فایل‌های قابل دسترس آن‌ها محدود می‌شود. همچنین، به دلیل اینکه Redis اغلب در حافظه اجرا می‌شود، از فایل‌های پیکربندی به جز آن‌ها، تقریباً هیچ چیزی برای رمزگذاری شدن مناسب نیست.

ماینر XMR (Monero) که در نسخه‌های قبلی غیرفعال بود، اکنون فعال شده، به یک دایرکتوری موقت منتقل شده و پنج دقیقه پس از شروع payload اصلی، راه‌اندازی شده است.

کیف پول در نمونه‌های مورد بررسی تا کنون حدوداً ۷۱ واحد پول دیجیتال Monero (XMR)، که معادل تقریبی ۱۰,۰۰۰ دلار است، به دست آورده‌اند، اما Cado می‌گوید که احتمالاً اپراتورها از آدرس‌های کیف پول اضافی نیز استفاده می‌کنند.

ویژگی عجیب P2PInfect جدید این است که ماینر به گونه ای پیکربندی شده است که از تمام توان پردازشی موجود استفاده کند، که اغلب عملکرد ماژول باج افزار را مختل می کند.

نکته قابل توجه همچنین یک روت کیت جدید در حالت user-mode است که ربات های P2PInfect را قادر می سازد تا فرآیندها و فایل های مخرب خود را از ابزارهای امنیتی پنهان کنند

تحقیقات Cado در مورد اینکه آیا P2PInfect وابسته به گروه هکری خاص یا جنایتکاران سایبری می باشد به نتیجه قطعی نرسیده است

نکته اصلی این است که P2PInfect در حال حاضر یک تهدید واقعی برای سرورهای Redis است که قادر به از بین بردن داده‌ها و ربودن منابع محاسباتی برای کسب درامد می باشد.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب