Các nhà nghiên cứu an ninh mạng đã phát hiện ra một biến thể mới của một botnet mới nổi có tên P2PInfect có khả năng nhắm mục tiêu vào các bộ định tuyến và thiết bị IoT.
Phiên bản mới nhất, theo Cado Security Labs, được biên dịch cho Bộ vi xử lý không có kiến trúc Interlocked Pipelined Stage (MIPS), mở rộng khả năng và phạm vi tiếp cận của nó.
"Rất có khả năng bằng cách nhắm mục tiêu MIPS, các nhà phát triển P2PInfect có ý định lây nhiễm phần mềm độc hại vào các bộ định tuyến và thiết bị IoT", nhà nghiên cứu bảo mật Matt Muir cho biết trong một báo cáo được chia sẻ với The Hacker News.
P2PInfect, một phần mềm độc hại dựa trên Rust, lần đầu tiên được tiết lộ vào tháng 7 năm 2023, nhắm mục tiêu vào các phiên bản Redis chưa được vá bằng cách khai thác lỗ hổng thoát khỏi hộp cát Lua quan trọng (CVE-2022-0543, điểm CVSS: 10.0) để truy cập ban đầu.
Một phân tích tiếp theo từ công ty bảo mật đám mây vào tháng Chín cho thấy sự gia tăng hoạt động P2PInfect, trùng hợp với việc phát hành các biến thể lặp đi lặp lại của phần mềm độc hại.
Các hiện vật mới, bên cạnh việc cố gắng thực hiện các cuộc tấn công vũ phu SSH vào các thiết bị được nhúng với bộ xử lý MIPS 32-bit, còn tích hợp các kỹ thuật trốn tránh và chống phân tích được cập nhật để bay dưới radar.
Các nỗ lực brute-force chống lại các máy chủ SSH được xác định trong giai đoạn quét được thực hiện bằng cách sử dụng các cặp tên người dùng và mật khẩu phổ biến có trong chính tệp nhị phân ELF.
Người ta nghi ngờ rằng cả máy chủ SSH và Redis đều là vectơ lan truyền cho biến thể MIPS do thực tế là có thể chạy máy chủ Redis trên MIPS bằng gói OpenWrt được gọi là máy chủ redis.
Một trong những phương pháp trốn tránh đáng chú ý được sử dụng là kiểm tra để xác định xem nó có đang được phân tích hay không và nếu có, tự chấm dứt, cũng như nỗ lực vô hiệu hóa các kết xuất lõi Linux, là các tệp được hạt nhân tạo tự động sau khi một quá trình gặp sự cố bất ngờ.
Biến thể MIPS cũng bao gồm mô-đun DLL Windows 64 bit nhúng cho Redis cho phép thực thi các lệnh shell trên hệ thống bị xâm nhập.
"Đây không chỉ là một sự phát triển thú vị ở chỗ nó thể hiện sự mở rộng phạm vi cho các nhà phát triển đằng sau P2PInfect (kiến trúc bộ xử lý được hỗ trợ nhiều hơn tương đương với nhiều nút hơn trong chính botnet), mà mẫu MIPS32 bao gồm một số kỹ thuật trốn tránh phòng thủ đáng chú ý", Cado nói.
"Điều này, kết hợp với việc phần mềm độc hại sử dụng Rust (hỗ trợ phát triển đa nền tảng) và sự phát triển nhanh chóng của chính botnet, củng cố các đề xuất trước đây rằng chiến dịch này đang được thực hiện bởi một tác nhân đe dọa tinh vi."