Investigadores de ciberseguridad han descubierto un nuevo gusano de tipo "cloud targeting" y "peer-to-peer" (P2P) llamado P2PInfect, que apunta a instancias vulnerables de Redis para una explotación posterior.
"P2PInfect explota servidores Redis que se ejecutan en sistemas operativos tanto Linux como Windows, lo que lo hace más escalable y potente que otros gusanos", dijeron los investigadores William Gamazo y Nathaniel Quist de Palo Alto Networks Unit 42. "Este gusano también está escrito en Rust, un lenguaje de programación altamente escalable y amigable con la nube".
Se estima que hasta 934 sistemas únicos de Redis podrÃan ser vulnerables a esta amenaza. La primera instancia conocida de P2PInfect fue detectada el 11 de julio de 2023. Una caracterÃstica notable del gusano es su capacidad para infectar instancias de Redis vulnerables, aprovechando una vulnerabilidad crÃtica de escape de sandbox de Lua, CVE-2022-0543 (puntuación CVSS: 10.0), que anteriormente se ha utilizado para distribuir varias familias de malware como Muhstik, Redigo y HeadCrab durante el último año.
Unit 42 le dijo a The Hacker News que no encontraron evidencia que conecte a P2PInfect con las campañas de Redigo y HeadCrab, citando diferencias en el lenguaje de programación utilizado (Rust vs. Golang) y el propio método de explotación.
"Redigo y HeadCrab están asociados con el ataque de sincronización del módulo 'Primario/Secundario' de Redis", dijo William Gamazo, investigador principal de seguridad en Palo Alto Networks. "Esta técnica se utiliza cuando una instancia de Redis comprometida se mueve de una instancia Primaria a una instancia Secundaria, lo que permite al atacante controlar la instancia comprometida. No creemos que esta técnica de ataque esté relacionada correctamente con CVE-2022-0543".
"El ataque de P2PInfect está directamente relacionado con la vulnerabilidad de escape del sandbox de LUA, tal como se discutió en CVE-2022-0543, donde el atacante utiliza la biblioteca LUA para inyectar un script de ejecución remota de comandos (RCE) que se ejecutará en el host comprometido. Esto está más estrechamente relacionado con el exploit Muhstik. Sin embargo, tampoco creemos que Muhstik y P2PInfect estén conectados".
El acceso inicial obtenido mediante una explotación exitosa se utiliza para entregar un cargador que establece una comunicación peer-to-peer (P2P) a una red P2P más grande y descarga binarios maliciosos adicionales, incluido software de escaneo para propagar el malware a otros hosts de Redis y SSH expuestos. "La instancia infectada luego se une a la red P2P para proporcionar acceso a otras cargas útiles en futuras instancias de Redis comprometidas", dijeron los investigadores.
El malware también utiliza un script de PowerShell para establecer y mantener la comunicación entre el host comprometido y la red P2P, lo que proporciona a los actores maliciosos un acceso persistente. Además, la variante de P2PInfect para Windows incorpora un componente Monitor para actualizarse automáticamente y lanzar la nueva versión.
Actualmente, no se conoce cuál es el objetivo final de la campaña, y Unit 42 señala que no hay evidencia definitiva de cryptojacking a pesar de la presencia de la palabra "miner" (minero) en el código fuente del kit de herramientas. La actividad no ha sido atribuida a ningún grupo de actores de amenazas conocidos por atacar entornos en la nube, como Adept Libra (también conocido como TeamTNT), Aged Libra (también conocido como Rocke), Automated Libra (también conocido como PURPLEURCHIN), Money Libra (también conocido como Kinsing), Returned Libra (también conocido como 8220 Gang) o Thief Libra (también conocido como WatchDog).
Este desarrollo se produce mientras los actores maliciosos descubren activos en la nube mal configurados y vulnerables en cuestión de minutos, escaneando constantemente Internet para llevar a cabo ataques sofisticados.
"El gusano P2PInfect parece estar bien diseñado, con varias opciones de desarrollo modernas", dijeron los investigadores. "El diseño y construcción de una red P2P para realizar la auto-propagación de malware no es algo que se vea comúnmente en el panorama de amenazas dirigidas a la nube o cryptojacking".
¿Quieres saber más?