Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại sâu nhắm mục tiêu đám mây mới, mạng ngang hàng (P2P) có tên là P2PInfect nhắm mục tiêu các phiên bản Redis dễ bị tổn thương để khai thác tiếp theo.
“P2PInfect khai thác các máy chủ Redis chạy trên cả Hệ điều hành Linux và Windows khiến nó có khả năng mở rộng và mạnh hơn các loại sâu khác,” các nhà nghiên cứu William Gamazo và Nathaniel Quist của Palo Alto Networks Unit 42 cho biết. “Con sâu này cũng được viết bằng Rust, một ngôn ngữ lập trình thân thiện với đám mây và có khả năng mở rộng cao.”
Người ta ước tính rằng có tới 934 hệ thống Redis duy nhất có thể dễ bị tấn công bởi mối đe dọa này. Phiên bản đầu tiên của P2PInfect được phát hiện vào ngày 11 tháng 7 năm 2023.
Một đặc điểm đáng chú ý của sâu là khả năng lây nhiễm các phiên bản Redis dễ bị tổn thương bằng cách khai thác lỗ hổng thoát hộp cát Lua quan trọng, CVE-2022-0543 (điểm CVSS: 10,0), lỗ hổng này đã từng bị khai thác để phân phối nhiều dòng phần mềm độc hại như Muhstik, Redigo và HeadCrab trong năm qua.
Đơn vị 42 nói với The Hacker News rằng họ không tìm thấy bằng chứng nào để kết nối P2PInfect với các chiến dịch Redigo và HeadCrab, viện dẫn sự khác biệt trong ngôn ngữ lập trình được sử dụng (Rust so với Golang) và chính phương pháp khai thác.
William Gamazo, nhà nghiên cứu bảo mật chính tại Palo Alto Networks, cho biết Redigo và HeadCrab “có liên quan đến cuộc tấn công đồng bộ hóa mô-đun ‘Chính/Phụ’ của Redis”. “Kỹ thuật này được sử dụng khi phiên bản Redis bị xâm phạm được chuyển từ phiên bản Chính sang phiên bản Phụ cho phép kẻ tấn công kiểm soát phiên bản bị xâm nhập. Chúng tôi không tin rằng kỹ thuật tấn công này được liên kết chính xác với CVE-2022-0543.”
“Cuộc tấn công P2PInfect có liên quan trực tiếp đến việc thoát LUA Sandbox như đã thảo luận trong CVE-2022-0543, trong đó kẻ tấn công tận dụng thư viện LUA để chèn một tập lệnh RCE để chạy trên máy chủ bị xâm nhập. Điều này có liên quan chặt chẽ hơn đến việc khai thác Muhstik. Tuy nhiên, Muhstik và P2PInfect cũng không được cho là có liên quan.”
Quyền truy cập ban đầu có được nhờ khai thác thành công sau đó được tận dụng để phân phối tải trọng nhỏ giọt thiết lập giao tiếp ngang hàng (P2P) với mạng P2P lớn hơn và tìm nạp các tệp nhị phân độc hại bổ sung, bao gồm cả phần mềm quét để truyền phần mềm độc hại sang Redis và Redis bị lộ khác Máy chủ SSH.
Các nhà nghiên cứu cho biết: “Phiên bản bị nhiễm sau đó sẽ tham gia mạng P2P để cung cấp quyền truy cập vào các tải trọng khác cho các phiên bản Redis bị xâm nhập trong tương lai”.
Phần mềm độc hại này cũng sử dụng tập lệnh PowerShell để thiết lập và duy trì liên lạc giữa máy chủ bị xâm nhập và mạng P2P, cung cấp quyền truy cập liên tục cho các tác nhân đe dọa. Hơn nữa, hương vị Windows của P2PInfect kết hợp một thành phần Màn hình để tự cập nhật và khởi chạy phiên bản mới.
“Là cơ sở dữ liệu trong bộ nhớ phổ biến nhất thế giới, không có gì ngạc nhiên khi các bản cài đặt Redis thường là mục tiêu của các tác nhân đe dọa và chúng tôi rất vui khi thấy các nhà nghiên cứu an ninh mạng đang tích cực làm việc để tìm ra những tác nhân xấu này. Trước đây chúng tôi đã thấy phần mềm độc hại khác được tạo ra để lợi dụng CVE-2022-0543, một lỗ hổng được tạo ra bởi cách một số phiên bản Debian Linux đóng gói công cụ Lua cho Redis nguồn mở.” người phát ngôn của Redis nói với The Hacker News.
“Phần mềm Redis Enterprise bao gồm một phiên bản cứng của mô-đun Lua không dễ bị ảnh hưởng bởi lỗ hổng này. Do đó, khách hàng chạy phần mềm được cấp phép Redis Enterprise không gặp rủi ro từ CVE-2022-0543 và P2PInfect. Người dùng Redis nguồn mở được khuyến khích sử dụng các bản phân phối chính thức có sẵn trực tiếp từ redis.io”
Hiện vẫn chưa biết mục tiêu cuối cùng của chiến dịch là gì, Đơn vị 42 lưu ý rằng không có bằng chứng rõ ràng nào về việc tấn công tiền điện tử mặc dù có từ “thợ mỏ” trong mã nguồn của bộ công cụ.
Hoạt động này không được quy cho bất kỳ nhóm tác nhân đe dọa nổi tiếng nào với việc tấn công môi trường đám mây như Adept Libra (còn gọi là TeamTNT), Aged Libra (còn gọi là Rocke), Automated Libra (còn gọi là PURPLEURCHIN), Money Libra (còn gọi là Kinsing), Returned Libra (còn gọi là 8220 Gang) hoặc Thief Libra (còn gọi là WatchDog).
Sự phát triển diễn ra khi các tài sản đám mây dễ bị cấu hình sai và dễ bị phát hiện trong vòng vài phút bởi những kẻ xấu liên tục quét internet để thực hiện các cuộc tấn công tinh vi.
Các nhà nghiên cứu cho biết: “Sâu P2PInfect dường như được thiết kế tốt với một số lựa chọn phát triển hiện đại. “Việc thiết kế và xây dựng mạng P2P để thực hiện tự động lan truyền phần mềm độc hại không phải là điều thường thấy trong bối cảnh mối đe dọa nhắm mục tiêu trên đám mây hoặc tiền điện tử.”
Trả lời