P2PInfect Botnet utilisant un mineur et une charge utile de ransomware
De récents rapports des médias ont mis en lumière le logiciel malveillant P2PInfect. Le botnet peer-to-peer a été découvert en train de cibler et d'exploiter la vulnérabilité du serveur Redis avec des ransomwares et des mineurs de crypto-monnaie. Ce logiciel malveillant, autrefois considéré comme dormant et sans motif, n'est pas utilisé par des acteurs de la menace ayant des motivations financières.
Dans ce blog, nous allons nous plonger dans le malware P2PInfect et comprendre ce qui en fait une menace de première importance.
Le logiciel malveillant P2PInfect dévoilé
Le logiciel malveillant P2PInfect est apparu il y a un an et a depuis reçu des mises à jour continues. L'utilisation de ce logiciel malveillant a été découverte au début du mois de janvier, lorsqu'il a été vu en train de livrer des charges utiles de minage. Le logiciel malveillant P2PInfect s'est propagé en ciblant le serveur Redis.
Il exploite la fonction de réplication du serveur, qui transforme les systèmes des victimes en nœuds suiveurs d'un serveur contrôlé par l'acteur de la menace. Une autre capacité intrigante de ce botnet peer-to-peer est qu'il peut scanner l'internet à la recherche de serveurs web plus vulnérables. En outre, le logiciel malveillant P2PInfect dispose d'un module de pulvérisation de mots de passe SSH.
Le module peut être utilisé comme un élément de la chaîne d'attaque et aide les acteurs de la menace à effectuer des tentatives de connexion à l'aide de mots de passe courants. Parmi les autres capacités clés qui font de ce logiciel malveillant une menace de premier plan, citons sa capacité à :
- Empêcher d'autres cybercriminels d'attaquer le même serveur.
- Redémarrage du service SSH avec l'autorisation de l'administrateur.
- Permettre aux acteurs de la menace de procéder à une escalade des privilèges.
Logiciel malveillant P2PInfect : structure du réseau de zombies et avis d'experts
Avant de se plonger dans l'analyse des experts, ceux qui s'intéressent à la cybersécurité doivent savoir que l'une des principales caractéristiques du logiciel malveillant est son architecture. Avec ce logiciel malveillant, chaque machine infectée agit comme un nœud faisant partie d'un réseau maillé plus vaste. Cette structure facilite la diffusion rapide des commandes et des mises à jour.
Une telle structure permet aux acteurs de la menace de s'assurer que le logiciel malveillant échappe à la détection sans compromettre son implantation sur les systèmes des victimes. Le botnet a été analysé par des experts en raison de sa gravité. Patrick Tiquet, vice-président de la sécurité et de l'architecture chez Keeper Security, a déclaré à propos du logiciel malveillant P2PInfect :
"Le développement de P2Pinfect est un exemple typique de la façon dont les logiciels malveillants sophistiqués se développent, en se concentrant souvent sur la diffusion et l'établissement d'une base solide au sein des réseaux au cours de la phase initiale, en utilisant des techniques telles que l'exploitation des vulnérabilités des logiciels ou l'utilisation de la pulvérisation de mots de passe.
Un autre expert, Ken Dunham, directeur de la cybermenace à l'unité de recherche sur les menaces de Qualys, a également déclaré ce qui suit :
"Il est essentiel que les équipes chargées du renseignement sur les cybermenaces surveillent et gèrent l'évolution des tactiques, techniques et procédures (TTP) des acteurs malveillants en vue de leur attribution, ainsi que les changements dans le paysage des menaces et les indicateurs permettant de savoir où les entreprises doivent se concentrer pour réduire au mieux les risques."
Conclusion
Le logiciel malveillant récemment découvert est devenu une menace émergente grave pour les internautes du monde entier. Après sa découverte initiale en juin 2023, le logiciel malveillant a été considéré comme dormant et sans motif. Toutefois, des exploits actifs récents ont révélé qu'il était utilisé à des fins financières.
À l'heure actuelle, le logiciel malveillant P2PInfect peut escalader les privilèges, redémarrer les serveurs SSH avec l'autorisation de l'utilisateur root, et plus encore. Dans ce contexte, la mise en œuvre de mesures de cybersécurité solides est devenue une nécessité, car elle peut améliorer la posture de sécurité, réduire l'exposition aux risques et permettre aux organisations de lutter contre ces menaces.
Les sources de cet article sont The Hacker News et HACK READ.