Η πιο μυστική έκδοση του κακόβουλου λογισμικού P2Pinfect στοχεύει συσκευές MIPS

Οι πιο πρόσφατες παραλλαγές του botnet P2Pinfect εστιάζουν τώρα στη μόλυνση συσκευών με επεξεργαστές

32-bit

MIPS (Μικροεπεξεργαστής χωρίς Interlocked Pipelined Stage), όπως δρομολογητές και συσκευές IoT.

Λόγω της αποτελεσματικότητάς τους και του συμπαγούς σχεδιασμού τους, τα τσιπ MIPS είναι διαδεδομένα σε ενσωματωμένα συστήματα όπως δρομολογητές, οικιακές πύλες και κονσόλες βιντεοπαιχνιδιών.

Το P2Pinfect ανακαλύφθηκε τον Ιούλιο του 2023 από αναλυτές της Palo Alto Networks (Μονάδα 42) ως ένα νέο worm βασισμένο σε Rust που στοχεύει διακομιστές Redis που είναι ευάλωτοι στο CVE-

2022

-0543.

Μετά την αρχική του ανακάλυψη, οι αναλυτές της Cado Security που εξέτασαν το P2Pinfect ανέφεραν ότι έκανε κατάχρηση της δυνατότητας αναπαραγωγής Redis για να εξαπλωθεί, δημιουργώντας αντίγραφα του μολυσμένου στιγμιότυπου.

Αργότερα, τον Σεπτέμβριο, η Cado προειδοποίησε για την αύξηση των συστημάτων στόχευσης δραστηριότητας botnet P2Pinfect στις

Ηνωμένες Πολιτείες

, τη Γερμανία, το

Ηνωμένο Βασίλειο

, την Ιαπωνία, τη Σιγκαπούρη, το Χονγκ Κονγκ και την Κίνα.

Σήμερα, η Cado αναφέρει μια νέα εξέλιξη σχετικά με το botnet, η οποία σηματοδοτεί μια σημαντική εξέλιξη στο εύρος στόχευσης του έργου και στην ικανότητα αποφυγής εντοπισμού.

Νέα

παραλλαγή MIPS

Οι τελευταίες επιθέσεις που παρατηρήθηκαν στα honeypots της Cado πραγματοποιούν σάρωση για διακομιστές SSH που χρησιμοποιούν αδύναμα διαπιστευτήρια και προσπαθούν να ανεβάσουν το δυαδικό αρχείο MIPS μέσω SFTP και SCP.

Είναι ενδιαφέρον ότι η διάδοση για την παραλλαγή MIPS δεν περιορίζεται στο SSH, καθώς οι ερευνητές εντόπισαν προσπάθειες εκτέλεσης του διακομιστή Redis σε συσκευές MIPS μέσω ενός πακέτου OpenWRT με το όνομα ‘redis-server’.

Κατά τη στατική ανάλυση, οι ερευνητές της Cado διαπίστωσαν ότι το νέο P2Pinfect είναι ένα δυαδικό ELF 32-bit χωρίς πληροφορίες εντοπισμού σφαλμάτων και ένα ενσωματωμένο Windows DLL 64-bit, το οποίο λειτουργεί ως μονάδα φόρτωσης για το Redis για να ενεργοποιήσει την εκτέλεση εντολών φλοιού στον κεντρικό υπολογιστή.

Πιο υπεκφυγές

Η πιο πρόσφατη παραλλαγή του P2Pinfect εφαρμόζει εξελιγμένους και πολύπλευρους μηχανισμούς αποφυγής που κάνουν την ανίχνευση και την ανάλυσή του πολύ πιο δύσκολη.

Ο Cado έχει

τονίζεται

οι ακόλουθοι μηχανισμοί φοροδιαφυγής που εισήχθησαν στο πιο πρόσφατο P2Pinfect:

• Εφαρμογή ελέγχου για την τιμή “TracerPid” στο αρχείο κατάστασης διεργασίας για να προσδιοριστεί εάν τα εργαλεία ανάλυσης εντοπίζουν τη διαδικασία κακόβουλου λογισμικού και τερματίζουν εάν είναι.
• Χρήση κλήσεων συστήματος για την απενεργοποίηση των αποτυπωμάτων πυρήνων Linux, αποτρέποντας την απόρριψη περιεχομένου μνήμης που περιέχει ίχνη της δραστηριότητάς του.
• Το ενσωματωμένο DLL περιέχει μια λειτουργία για την αποφυγή εικονικών μηχανών (VM)

Η συνεχής ανάπτυξη του P2Pinfect και η επέκταση της στόχευσης του κακόβουλου λογισμικού υποδηλώνει υψηλό επίπεδο δεξιοτήτων κωδικοποίησης και αποφασιστικότητας από τους δημιουργούς του.

Είναι σημαντικό να τονιστεί ότι παρά την εκτεταμένη παρακολούθηση του botnet μέσω διαφόρων καμπανιών με την πάροδο του χρόνου, η Cado Security παραμένει αβέβαιη σχετικά με τους ακριβείς στόχους των χειριστών του κακόβουλου λογισμικού.

Αυτοί οι στόχοι θα μπορούσαν να περιλαμβάνουν την εξόρυξη κρυπτονομισμάτων, την έναρξη επιθέσεων κατανεμημένης άρνησης υπηρεσίας (DDoS), τη διευκόλυνση της διαμεσολάβησης κίνησης και την εκτέλεση κλοπής δεδομένων.