P2PInfect僵尸網絡蠕蟲從8月下旬開始經歷一段活動量高度上升的時期,然后在2023年9月再次上升。P2PInfect于2023年7月由Unit42首次記錄為一種對等惡意軟件,該惡意軟件在暴露于互聯網的Windows和Linux系統上使用遠程代碼執行缺陷破壞Redis實例。
Cado Security的研究人員自2023年7月底以來一直在跟蹤僵尸網絡,近日報告稱,違規行為影響了美國、德國、新加坡、英國和日本等多國的系統。此外,最新的P2PInfect樣本具有添加和改進功能,使其更容易攻擊到目標,這展示了該惡意軟件的不斷發展。
活動急劇增加
P2PInfect僵尸網絡的活動不斷增長,表明該惡意軟件已經進入了代碼穩定的新時期,操作能力得到提高。
研究人員報告稱,P2PInfect對其蜜罐進行的首次訪問嘗試數量穩步增加,截至2023年8月24日,單個傳感器共發生4064起事件。到2023年9月3日,首次訪問事件增加了兩倍,但仍然相對較低。
然后,在2023年9月12日至19日的一周內,P2PInfect活動激增,僅在此期間,Cado就記錄了3619次訪問嘗試,增長了600倍。
Cado解釋道:“P2Pinfect流量的增加與野外出現的變種數量的增加相吻合,這表明惡意軟件的開發人員正以極高的開發速度運行。”
P2PInfect的新功能
在活動增加的同時,Cado觀察到新的樣本使P2PInfect成為更隱秘、更可怕的威脅。
首先,該惡意軟件添加了一個基于cron的持久性機制,取代了以前的“bash_loout”方法,每30分鐘觸發一次主負載。
此外,P2Pinfect現在使用(輔助)bash負載通過本地服務器套接字與主負載通信,如果主進程停止或被刪除,它會從對等端檢索副本并重新啟動它。
該惡意軟件還使用了SSH密鑰覆蓋被破壞端點上的所有SSH authorized_keys,以阻止合法用戶通過SSH登錄。
如果惡意軟件具有root訪問權限,它將使用自動生成的10個字符的密碼為系統上的其他用戶執行密碼更改,將其鎖定。
最后,P2PInfect現在還為其客戶端使用C結構配置,該配置不斷動態更新,而以前它沒有配置文件。
目標不明確
Cado報告稱,它最近觀察到的P2PInfect變體試圖獲取礦工有效載荷,但在受損設備上沒有看到實際的加密挖掘活動。因此,目前尚不清楚惡意軟件運營商是否仍在試驗攻擊的最后一步。
僵尸網絡的運營商可能正在增強礦工組件或尋求P2PInfect訂閱的買家,因此他們將礦工用作演示的假人。
考慮到當前僵尸網絡的規模、傳播、自我更新功能以及本月的快速擴展,P2PInfect是一個需要關注的重大威脅。
cayman
CNCERT國家工程研究中心
007bug
上官雨寶
上官雨寶
黑客技術與網絡安全
上官雨寶
Andrew
上官雨寶
Anna艷娜
Anna艷娜
