کارشناسان امنیتی هشداری در مورد یک کرم بسیار پیچیده peer-to-peer (P2P) که با زبان Rust نوشته شده است، صادر کرده اند که به طور خاص نمونه هایی از نرم افزار پایگاه داده منبع باز محبوب Redis را هدف قرار می دهد.
این کرم که با نام "P2PInfect" شناخته میشود، از یک آسیبپذیری حیاتی برای نفوذ به نمونههای Redis استفاده میکند و آنها را در یک شبکه P2P بزرگتر جذب میکند و به آن امکان میدهد به سرعت گسترش یابد.
محققان واحد 42، تیم تحقیقاتی ابری Palo Alto Networks، این کرم را شناسایی کرده و نام آن را بر اساس عبارتی که در نمادهای لو رفته در کد آن یافت می شود، نامگذاری کردند. این کرم از CVE-2022-0543، یک آسیبپذیری فرار sandbox در کتابخانه Lua استفاده میکند، که حداکثر امتیاز شدت 10.0 را در مقیاس شدت CVSSv3 دریافت کرده است که نشاندهنده پتانسیل تهدید قابل توجه آن است.
اسکرین شات به اشتراک گذاشته شده توسط محققان نشان می دهد که P2PInfect در نمادهای لو رفته ظاهر می شود
P2PInfect جای پای خود را در محیطهای کانتینر ابری ایجاد میکند و آن را از سایر کرمهایی که Redis را مورد هدف قرار میدهند، متمایز میکند، مانند بدافزار رمزنگاری که توسط Adept Libra (معروف به TeamTnT)، Thief Libra (معروف به WatchDog) اداره میشود.
زمانی که کرم وارد یک نمونه Redis می شود، یک اسکریپت Powershell را اجرا می کند که تنظیمات فایروال محلی را تغییر می دهد، و از دسترسی صاحبان قانونی به نمونه Redis آلوده جلوگیری می کند و در عین حال به اپراتورهای کرم دسترسی نامحدود می دهد.
یکی از تکنیکهای پیچیده کرم برای ماندگاری شامل فرآیندی به نام «Monitor» است که در پوشه Temp در فهرست AppData کاربر ذخیره میشود. این فرآیند چندین فایل اجرایی با نام تصادفی P2PInfect را در کنار یک فایل پیکربندی رمزگذاری شده دانلود میکند و از حضور طولانیمدت آن در سیستمهای آلوده اطمینان میدهد.
محققان مشاهده کرده اند که کرم یک اتصال P2P از طریق پورت 60100 به یک بات نت بزرگ فرمان و کنترل (C2) برقرار می کند. در حالی که نمونههای دانلود شده از C2 شامل فایلهایی با برچسب «miner» و «winminer» است، هنوز هیچ مدرکی مبنی بر مشارکت P2PInfect در رمزنگاری با استفاده از نمونههای آلوده وجود ندارد.
کارشناسان حدس می زنند که این کرم ممکن است زمینه را برای کمپین های آتی فراهم کند که به طور بالقوه شامل فعالیت های ماینینگ با استفاده از بات نت است.
طبق پست وبلاگ واحد 42، این شرکت در 11 ژوئیه P2PInfect را با استفاده از پلتفرم HoneyCloud خود کشف کرد، مجموعه ای متنوع از هانی پات ها که برای جذب و تجزیه و تحلیل تهدیدات ابر عمومی طراحی شده بودند. گسترش سریع کرم مشاهده شده است، به طوری که 934 مورد از 307000 نمونه Redis که به صورت عمومی ارتباط برقرار می کنند، آسیب پذیر هستند.
استفاده منحصربهفرد از زبان برنامهنویسی Rust توسط P2PInfect نگرانیهایی را در میان کارشناسان امنیت سایبری ایجاد میکند، زیرا بسیاری از گروههای باجافزار نیز به دلیل مزایایی مانند رمزگذاری سریعتر و فرار از روشهای تشخیص رایج، به Rust تغییر مکان دادهاند.
همانطور که چشم انداز تهدید به تکامل خود ادامه می دهد، محققان به دقت رفتار کرم را زیر نظر دارند، از جمله احتمال افزودن رفتارها و ویژگی های جدید به P2PInfect در آینده.
در حالی که Rust مزایای بیشماری فراتر از استفاده در بدافزارها را ارائه میکند، استفاده از آن در کرمهای پیچیدهای مانند P2PInfect، اهمیت هوشیاری مداوم و اقدامات امنیتی پیشگیرانه را در مواجهه با تهدیدات سایبری همیشه در حال تحول برجسته میکند. از سازمانها و افراد خواسته میشود تا نمونههای Redis خود را بهروزرسانی کنند و شیوههای امنیت سایبری قوی را برای محافظت در برابر حملات احتمالی پیادهسازی کنند.
در پی این کشف، جامعه امنیت سایبری باید در حفاظت از سیستمها و دادههای حیاتی در برابر تهدیدات نوظهور مانند P2PInfect و دیگر گونههای بدافزار پیشرفته، هوشیار و فعال باقی بماند.
این کرم که با نام "P2PInfect" شناخته میشود، از یک آسیبپذیری حیاتی برای نفوذ به نمونههای Redis استفاده میکند و آنها را در یک شبکه P2P بزرگتر جذب میکند و به آن امکان میدهد به سرعت گسترش یابد.
محققان واحد 42، تیم تحقیقاتی ابری Palo Alto Networks، این کرم را شناسایی کرده و نام آن را بر اساس عبارتی که در نمادهای لو رفته در کد آن یافت می شود، نامگذاری کردند. این کرم از CVE-2022-0543، یک آسیبپذیری فرار sandbox در کتابخانه Lua استفاده میکند، که حداکثر امتیاز شدت 10.0 را در مقیاس شدت CVSSv3 دریافت کرده است که نشاندهنده پتانسیل تهدید قابل توجه آن است.
اسکرین شات به اشتراک گذاشته شده توسط محققان نشان می دهد که P2PInfect در نمادهای لو رفته ظاهر می شود
P2PInfect جای پای خود را در محیطهای کانتینر ابری ایجاد میکند و آن را از سایر کرمهایی که Redis را مورد هدف قرار میدهند، متمایز میکند، مانند بدافزار رمزنگاری که توسط Adept Libra (معروف به TeamTnT)، Thief Libra (معروف به WatchDog) اداره میشود.
زمانی که کرم وارد یک نمونه Redis می شود، یک اسکریپت Powershell را اجرا می کند که تنظیمات فایروال محلی را تغییر می دهد، و از دسترسی صاحبان قانونی به نمونه Redis آلوده جلوگیری می کند و در عین حال به اپراتورهای کرم دسترسی نامحدود می دهد.
یکی از تکنیکهای پیچیده کرم برای ماندگاری شامل فرآیندی به نام «Monitor» است که در پوشه Temp در فهرست AppData کاربر ذخیره میشود. این فرآیند چندین فایل اجرایی با نام تصادفی P2PInfect را در کنار یک فایل پیکربندی رمزگذاری شده دانلود میکند و از حضور طولانیمدت آن در سیستمهای آلوده اطمینان میدهد.
محققان مشاهده کرده اند که کرم یک اتصال P2P از طریق پورت 60100 به یک بات نت بزرگ فرمان و کنترل (C2) برقرار می کند. در حالی که نمونههای دانلود شده از C2 شامل فایلهایی با برچسب «miner» و «winminer» است، هنوز هیچ مدرکی مبنی بر مشارکت P2PInfect در رمزنگاری با استفاده از نمونههای آلوده وجود ندارد.
کارشناسان حدس می زنند که این کرم ممکن است زمینه را برای کمپین های آتی فراهم کند که به طور بالقوه شامل فعالیت های ماینینگ با استفاده از بات نت است.
طبق پست وبلاگ واحد 42، این شرکت در 11 ژوئیه P2PInfect را با استفاده از پلتفرم HoneyCloud خود کشف کرد، مجموعه ای متنوع از هانی پات ها که برای جذب و تجزیه و تحلیل تهدیدات ابر عمومی طراحی شده بودند. گسترش سریع کرم مشاهده شده است، به طوری که 934 مورد از 307000 نمونه Redis که به صورت عمومی ارتباط برقرار می کنند، آسیب پذیر هستند.
استفاده منحصربهفرد از زبان برنامهنویسی Rust توسط P2PInfect نگرانیهایی را در میان کارشناسان امنیت سایبری ایجاد میکند، زیرا بسیاری از گروههای باجافزار نیز به دلیل مزایایی مانند رمزگذاری سریعتر و فرار از روشهای تشخیص رایج، به Rust تغییر مکان دادهاند.
همانطور که چشم انداز تهدید به تکامل خود ادامه می دهد، محققان به دقت رفتار کرم را زیر نظر دارند، از جمله احتمال افزودن رفتارها و ویژگی های جدید به P2PInfect در آینده.
در حالی که Rust مزایای بیشماری فراتر از استفاده در بدافزارها را ارائه میکند، استفاده از آن در کرمهای پیچیدهای مانند P2PInfect، اهمیت هوشیاری مداوم و اقدامات امنیتی پیشگیرانه را در مواجهه با تهدیدات سایبری همیشه در حال تحول برجسته میکند. از سازمانها و افراد خواسته میشود تا نمونههای Redis خود را بهروزرسانی کنند و شیوههای امنیت سایبری قوی را برای محافظت در برابر حملات احتمالی پیادهسازی کنند.
در پی این کشف، جامعه امنیت سایبری باید در حفاظت از سیستمها و دادههای حیاتی در برابر تهدیدات نوظهور مانند P2PInfect و دیگر گونههای بدافزار پیشرفته، هوشیار و فعال باقی بماند.