P2PInfect僵尸網(wǎng)絡(luò)蠕蟲(chóng)從8月下旬開(kāi)始經(jīng)歷一段活動(dòng)量高度上升的時(shí)期，然后在2023年9月再次上升。P2PInfect于2023年7月由Unit42首次記錄為一種對(duì)等惡意軟件，該惡意軟件在暴露于互聯(lián)網(wǎng)的Windows和Linux系統(tǒng)上使用遠(yuǎn)程代碼執(zhí)行缺陷破壞Redis實(shí)例。

Cado Security的研究人員自2023年7月底以來(lái)一直在跟蹤僵尸網(wǎng)絡(luò)，近日?qǐng)?bào)告稱，違規(guī)行為影響了美國(guó)、德國(guó)、新加坡、英國(guó)和日本等多國(guó)的系統(tǒng)。此外，最新的P2PInfect樣本具有添加和改進(jìn)功能，使其更容易攻擊到目標(biāo)，這展示了該惡意軟件的不斷發(fā)展。

活動(dòng)急劇增加

P2PInfect僵尸網(wǎng)絡(luò)的活動(dòng)不斷增長(zhǎng)，表明該惡意軟件已經(jīng)進(jìn)入了代碼穩(wěn)定的新時(shí)期，操作能力得到提高。

研究人員報(bào)告稱，P2PInfect對(duì)其蜜罐進(jìn)行的首次訪問(wèn)嘗試數(shù)量穩(wěn)步增加，截至2023年8月24日，單個(gè)傳感器共發(fā)生4064起事件。到2023年9月3日，首次訪問(wèn)事件增加了兩倍，但仍然相對(duì)較低。

然后，在2023年9月12日至19日的一周內(nèi)，P2PInfect活動(dòng)激增，僅在此期間，Cado就記錄了3619次訪問(wèn)嘗試，增長(zhǎng)了600倍。

Cado解釋道：“P2Pinfect流量的增加與野外出現(xiàn)的變種數(shù)量的增加相吻合，這表明惡意軟件的開(kāi)發(fā)人員正以極高的開(kāi)發(fā)速度運(yùn)行?！?/span>

P2PInfect的新功能

在活動(dòng)增加的同時(shí)，Cado觀察到新的樣本使P2PInfect成為更隱秘、更可怕的威脅。

首先，該惡意軟件添加了一個(gè)基于cron的持久性機(jī)制，取代了以前的“bash_loout”方法，每30分鐘觸發(fā)一次主負(fù)載。

此外，P2Pinfect現(xiàn)在使用(輔助)bash負(fù)載通過(guò)本地服務(wù)器套接字與主負(fù)載通信，如果主進(jìn)程停止或被刪除，它會(huì)從對(duì)等端檢索副本并重新啟動(dòng)它。

該惡意軟件還使用了SSH密鑰覆蓋被破壞端點(diǎn)上的所有SSH authorized_keys，以阻止合法用戶通過(guò)SSH登錄。

如果惡意軟件具有root訪問(wèn)權(quán)限，它將使用自動(dòng)生成的10個(gè)字符的密碼為系統(tǒng)上的其他用戶執(zhí)行密碼更改，將其鎖定。

最后，P2PInfect現(xiàn)在還為其客戶端使用C結(jié)構(gòu)配置，該配置不斷動(dòng)態(tài)更新，而以前它沒(méi)有配置文件。

目標(biāo)不明確

Cado報(bào)告稱，它最近觀察到的P2PInfect變體試圖獲取礦工有效載荷，但在受損設(shè)備上沒(méi)有看到實(shí)際的加密挖掘活動(dòng)。因此，目前尚不清楚惡意軟件運(yùn)營(yíng)商是否仍在試驗(yàn)攻擊的最后一步。

僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)商可能正在增強(qiáng)礦工組件或?qū)で驪2PInfect訂閱的買家，因此他們將礦工用作演示的假人。

考慮到當(dāng)前僵尸網(wǎng)絡(luò)的規(guī)模、傳播、自我更新功能以及本月的快速擴(kuò)展，P2PInfect是一個(gè)需要關(guān)注的重大威脅。

來(lái)源：E安全