Sommario
P2Pinfect è un malware basato su Rust, analizzato a fondo da Cado Security. Questo malware utilizza una botnet peer-to-peer (P2P) per il suo meccanismo di comando e controllo. Inizialmente, P2Pinfect sembrava essere in gran parte dormiente, diffondendosi principalmente attraverso Redis e un limitato spreader SSH. Tuttavia, recentemente, è stato aggiornato per includere payload di ransomware e cryptominer.
P2Pinfect è stato scoperto per la prima volta da Cado Security durante l’analisi della telemetria di honeypot nel luglio 2023. La campagna è iniziata il 23 giugno, basandosi sul certificato TLS utilizzato per le comunicazioni C2.
Accesso Iniziale
Il malware si diffonde sfruttando le funzionalità di replica in Redis. Utilizza il comando SLAVEOF per trasformare i nodi Redis scoperti in follower del server dell’attaccante. Una volta completato, l’attaccante può inviare comandi arbitrari ai nodi follower.
P2Pinfect sfrutta anche un altro vettore di accesso iniziale in Redis, abusando dei comandi di configurazione per scrivere un cron job nella directory cron.
Payload Principale
P2Pinfect è un worm, quindi tutte le macchine infette scansionano internet per trovare altri server da infettare. Dispone di un semplice password sprayer SSH, ma ha un tasso di successo inferiore rispetto a Redis. Dopo l’infezione, il malware aggiunge una chiave SSH nel file autorizzato dell’utente corrente e limita l’accesso a Redis agli IP delle connessioni esistenti.
La botnet P2Pinfect forma una grande rete mesh, permettendo al malware di propagare aggiornamenti binari attraverso il meccanismo di gossip.
Nuovi payload
Ransomware
Una volta che un nuovo peer si unisce alla botnet, P2Pinfect riceve un comando per scaricare ed eseguire un nuovo payload ransomware chiamato “rsagen”. Questo payload esegue la crittografia dei file e aggiunge una nota di riscatto.
Cryptominer
Il malware include anche un miner Monero, attivato circa cinque minuti dopo l’avvio del payload principale. Il miner è preconfigurato con il wallet Monero e il pool di mining.
Rootkit in User Mode
P2Pinfect ora include un rootkit in user mode, che modifica i file .bashrc per caricare un file libs.so.1. Questo file hijacka le chiamate a fopen, open, lstat, unlink e readdir per nascondere specifiche informazioni di processo.
P2Pinfect è un malware altamente sofisticato che continua a evolversi, aggiungendo nuove funzionalità per massimizzare i profitti degli attaccanti. Le recenti aggiunte di ransomware, cryptominer e rootkit dimostrano gli sforzi continui degli autori del malware per sfruttare l’accesso illecito e diffondere ulteriormente la rete.
