P2PInfect Botnet mit Miner- und Ransomware-Nutzlast
Jüngste Medienberichte haben die Malware P2PInfect ans Licht gebracht. Das Peer-to-Peer-Botnet wurde gefunden, das die Schwachstelle des Redis-Servers mit Ransomware und Krypto-Minern gezielt ausnutzt. Die Malware, von der man früher annahm, sie sei inaktiv und ohne Motiv, wird nicht von Bedrohungsakteuren mit finanziellen Motiven eingesetzt.
In diesem Blog werden wir die P2PInfect-Malware genauer unter die Lupe nehmen und herausfinden, was sie zu einer Bedrohung von höchster Wichtigkeit macht.
Die P2PInfect-Malware aufgedeckt
Die P2PInfect-Malware ist vor einem Jahr aufgetaucht und wird seither ständig aktualisiert. Der Einsatz der Malware wurde Anfang Januar entdeckt, als sie Miner-Payloads übermittelte. Die P2PInfect-Malware verbreitet sich durch Angriffe auf den Redis-Server.
Er nutzt die Replikationsfunktion des Servers aus, die die Systeme der Opfer in Folgeknoten eines vom Bedrohungsakteur kontrollierten Servers verwandelt. Eine weitere faszinierende Fähigkeit dieses Peer-to-Peer-Botnets ist, dass es das Internet nach weiteren anfälligen Webservern durchsuchen kann. Darüber hinaus verfügt die P2PInfect-Malware über ein SSH-Passwort-Sprayer-Modul.
Das Modul kann als Teil der Angriffskette verwendet werden und hilft Bedrohungsakteuren, Anmeldeversuche mit gängigen Passwörtern durchzuführen. Zu den weiteren Schlüsselfähigkeiten, die die Malware zu einer überragenden Bedrohung machen, gehört die Fähigkeit,:
- Halten Sie andere Cyberkriminelle davon ab, denselben Server anzugreifen.
- Neustart des SSH-Dienstes mit Root-Rechten.
- Ermöglicht Bedrohungsakteuren die Eskalation von Privilegien.
P2PInfect-Malware: Struktur des Botnetzes und Einblicke von Experten
Bevor man sich mit dem Expertenwissen auseinandersetzt, sollte man wissen, dass ein Hauptmerkmal der Malware ihre Architektur ist. Bei dieser Malware fungiert jeder infizierte Computer als Knotenpunkt in einem größeren Mesh-Netzwerk. Diese Struktur erleichtert die schnelle Verbreitung von Befehlen und Updates.
Mit einer solchen Struktur können die Bedrohungsakteure sicherstellen, dass die Malware der Entdeckung entgehen kann, ohne ihre Position auf den Systemen der Opfer zu gefährden. Das Botnet wurde aufgrund seiner Schwere von Experten analysiert. Patrick Tiquet, Vizepräsident für Sicherheit und Architektur bei Keeper Security, kommentierte die P2PInfect-Malware wie folgt:
"Die Entwicklung von P2Pinfect ist ein typisches Beispiel dafür, wie sich ausgeklügelte Malware entwickelt, die sich in der Anfangsphase oft darauf konzentriert, sich zu verbreiten und in Netzwerken Fuß zu fassen, indem sie Techniken wie das Ausnutzen von Softwareschwachstellen oder Passwort-Spraying einsetzt."
Ein weiterer Experte, Ken Dunham, Direktor für Cyber-Bedrohungen bei Qualys Threat Research Unit, hat ebenfalls erklärt, dass:
"Es ist von entscheidender Bedeutung, dass Cyber Threat Intelligence (CTI)-Teams die sich entwickelnden Taktiken, Techniken und Verfahren (TTPs) böser Akteure überwachen und managen, um eine Zuordnung zu ermöglichen, sowie Veränderungen in der Bedrohungslandschaft und Hinweise darauf, worauf sich Unternehmen konzentrieren sollten, um das Risiko bestmöglich zu reduzieren.
Schlussfolgerung
Die kürzlich entdeckte Malware hat sich zu einer ernsthaften Bedrohung für Internetnutzer weltweit entwickelt. Nach ihrer ersten Entdeckung im Juni 2023 wurde die Malware als ruhend und ohne jegliche Motive betrachtet. Jüngste aktive Exploits haben jedoch aufgedeckt, dass die Malware zu finanziellen Zwecken eingesetzt wird.
Derzeit kann die P2PInfect-Malware Privilegien ausweiten, SSH-Server mit Root-Rechten neu starten und vieles mehr. Angesichts dessen ist die Implementierung robuster Cybersicherheitsmaßnahmen eine Notwendigkeit, da sie die Sicherheitslage verbessern, das Risiko verringern und es Unternehmen ermöglichen, solche Bedrohungen zu bekämpfen.
Die Quellen für diesen Artikel sind The Hacker News und HACK READ.