Sâu ngang hàng (P2) có tên P2PInfect đã chứng kiến sự gia tăng hoạt động kể từ cuối tháng 8 năm 2023, chứng kiến bước nhảy vọt 600 lần trong khoảng thời gian từ ngày 12 đến ngày 19 tháng 9 năm 2023.
Nhà nghiên cứu Matt Muir của Cado Security cho biết trong một báo cáo được công bố hôm thứ Tư: “Sự gia tăng lưu lượng truy cập P2PInfect này trùng hợp với số lượng biến thể ngày càng tăng được thấy trong tự nhiên, cho thấy các nhà phát triển phần mềm độc hại đang hoạt động với nhịp độ phát triển cực cao”.
Phần lớn các thỏa hiệp đã được báo cáo ở Trung Quốc, Mỹ, Đức, Anh, Singapore, Hồng Kông và Nhật Bản.
P2PInfect lần đầu tiên được đưa ra ánh sáng vào tháng 7 năm 2023 vì khả năng vi phạm các phiên bản Redis được bảo mật kém. Kể từ đó, các tác nhân đe dọa đằng sau chiến dịch này đã sử dụng các cách tiếp cận khác nhau để truy cập ban đầu, bao gồm cả việc lạm dụng tính năng sao chép của cơ sở dữ liệu để phát tán phần mềm độc hại.
Cado Security cho biết họ đã quan sát thấy sự gia tăng các sự kiện truy cập ban đầu do P2PInfect trong đó lệnh Redis SLAVEOF được phát hành bởi một nút do tác nhân kiểm soát tới mục tiêu để cho phép sao chép.
Tiếp theo là việc phân phối mô-đun Redis độc hại đến mục tiêu, mục tiêu này sẽ chạy lệnh để truy xuất và khởi chạy tải trọng chính, sau đó một lệnh shell khác được chạy để xóa mô-đun Redis khỏi đĩa cũng như vô hiệu hóa tính năng sao chép .
Một trong những tính năng mới của các biến thể mới hơn là bổ sung cơ chế lưu trữ lâu dài tận dụng công việc định kỳ để khởi chạy phần mềm độc hại cứ sau 30 phút. Ngoài ra, hiện tồn tại một phương pháp phụ lấy bản sao của tệp nhị phân phần mềm độc hại từ một máy ngang hàng và thực thi nếu nó bị xóa hoặc quá trình chính bị chấm dứt.
P2PInfect tiếp tục ghi đè các tệp SSH ủy quyền_keys hiện có bằng khóa SSH do kẻ tấn công kiểm soát, ngăn chặn hiệu quả người dùng hiện tại đăng nhập qua SSH.
Muir cho biết: “Tải trọng chính cũng lặp lại thông qua tất cả người dùng trên hệ thống và cố gắng thay đổi mật khẩu người dùng của họ thành một chuỗi có tiền tố là Pa_ và theo sau là 7 ký tự chữ và số (ví dụ Pa_13HKlak)”. Tuy nhiên, bước này yêu cầu phần mềm độc hại phải có quyền truy cập root.
Bất chấp mức độ tinh vi ngày càng tăng của phần mềm độc hại, mục tiêu chính xác của P2PInfect vẫn chưa rõ ràng. Cado Security cho biết họ đã quan sát thấy phần mềm độc hại đang cố gắng tải trọng tải của công cụ khai thác tiền điện tử, nhưng cho đến nay không có bằng chứng nào về việc khai thác tiền điện tử.
Muir nói: “Rõ ràng là các nhà phát triển của P2PInfect cam kết duy trì và lặp lại chức năng của các tải trọng độc hại của họ, đồng thời mở rộng mạng botnet trên khắp các châu lục và nhà cung cấp đám mây với tốc độ nhanh chóng”.
“Dự kiến những kẻ đứng sau mạng botnet đang chờ triển khai chức năng bổ sung trong trọng tải của máy khai thác hoặc đang có ý định bán quyền truy cập vào mạng botnet cho các cá nhân hoặc nhóm khác.”