P2PInfect-Malware mit 600-fachem Aktivitätsanstieg: : Forscher schwenken rote Fahne
Der als P2PInfect bekannte Peer-to-Peer (P2)-Wurm hat seit Ende August 2023 einen sprunghaften Aktivitätsanstieg verzeichnet. Zwischen dem 12. und 19. September 2023 sind damit verbundene Aktionen um das 600-fache nach oben geschnellt.
Laut einem kürzlich veröffentlichten Bericht von Cado Securityforscher Matt Muir fiel dieser Anstieg des P2PInfect-Verkehrs mit einer wachsenden Anzahl von Varianten zusammen, die in „freier Wildbahn“ auftauchten. Das deutet darauf hin, dass die Entwickler der Malware mit einer extrem hohen Entwicklungskadenz arbeiten. Ein Großteil der Angriffe wurde aus China, den USA, Deutschland, Großbritannien, Singapur, Hongkong und Japan gemeldet.
P2PInfect machte erstmals im Juli 2023 von sich reden, als er in schlecht gesicherte Redis-Instanzen eindrang. Die Bedrohungsakteure, die hinter der Kampagne stehen, haben seitdem auf verschiedene Ansätze für den Erstzugang zurückgegriffen, einschließlich des Missbrauchs der Replikationsfunktion der Datenbank zur Verbreitung der Malware.
Cado Security hat nach eigenen Angaben eine Zunahme von Erstzugriffsereignissen beobachtet, die P2PInfect zuzuschreiben sind. Dabei wird der Redis-Befehl SLAVEOF von einem durch einen Akteur kontrollierten Knoten an ein Ziel ausgegeben, um die Replikation zu aktivieren. Anschließend wird ein bösartiges Redis-Modul an das Ziel übermittelt, das wiederum einen Befehl ausführt, um die Hauptnutzlast abzurufen und zu starten. Daraufhin wird ein weiterer Shell-Befehl ausgeführt, um das Redis-Modul von der Festplatte zu entfernen und die Replikation zu deaktivieren.
Eine der neuen Funktionen der aktuellen Varianten ist die Hinzufügung eines Persistenz-Mechanismus, der einen Cron-Job nutzt, um die Malware alle 30 Minuten zu starten. Außerdem gibt es jetzt eine sekundäre Methode, die eine Kopie der Malware-Binärdatei von einem Peer abruft und ausführt, wenn sie gelöscht oder der Hauptprozess beendet wird.
P2PInfect überschreibt außerdem bestehende SSH authorized_keys-Dateien mit einem vom Angreifer kontrollierten SSH-Schlüssel und verhindert so, dass sich bestehende Benutzer über SSH anmelden können.
„Die Haupt-Payload durchläuft auch alle Benutzer auf dem System und versucht, deren Benutzerkennwörter zu ändern. Ergebnis ist eine Zeichenfolge, der Pa_ vorangestellt ist und der 7 alphanumerische Zeichen folgen (z. B. Pa_13HKlak)“, so Muir. Dieser Schritt setzt jedoch voraus, dass die Malware über Root-Zugriff verfügt.
Trotz der zunehmenden Raffinesse der Malware sind die genauen Ziele von P2PInfect noch unklar. Cado Security hat beobachtet, dass die Malware versucht, eine Krypto-Mining-Nutzlast abzurufen, aber bisher gibt es keine belastbaren Beweise für Kryptomining. „Die Entwickler von P2PInfect sind offensichtlich bestrebt, die Funktionalität ihrer bösartigen Nutzdaten zu erhalten und zu verbessern, während sie gleichzeitig das Botnet in rasantem Tempo über Kontinente und Cloud-Anbieter hinweg skalieren“, so Muir. „Es ist davon auszugehen, dass die Hintermänner des Botnets entweder darauf warten, zusätzliche Funktionen in die Miner-Nutzlast zu implementieren, oder sie beabsichtigen, den Zugang zum Botnet an andere Personen oder Gruppen zu verkaufen.“