Başlangıçta belirsiz güdülere sahip hareketsiz bir eşler arası kötü amaçlı yazılım botnet olan P2Pinfect, nihayet bir fidye yazılımı modülü ve Redis sunucularına yapılan saldırılarda bir kriptominer dağıtmak için canlandı.
Bir süredir P2Pinfect'i izleyen CADO Security'ye göre, kötü amaçlı yazılımın "kiralık botnet" olarak çalıştığına dair kanıtlar var, ancak çelişkili bilgiler araştırmacıların şu anda güvenli sonuçlar çıkarmasını engelliyor.
P2Pinfect ilk olarak Temmuz 2023'te birim 42 araştırmacıları tarafından belgelendi ve bilinen güvenlik açıklarını kullanarak REDIS sunucularını hedef aldı.
CADO Security'nin daha sonra kötü amaçlı yazılım incelemesi, yayılmak için bir REDIS çoğaltma özelliğinden yararlandığını ortaya koydu.
Ağustos ve Eylül 2023 arasında P2Pinfect, etkinliğini haftalık olarak binlerce ihlal girişimine yükseltirken, aynı zamanda CRON tabanlı kalıcılık mekanizmaları, geri dönüş iletişim sistemleri ve SSH lokavt gibi yeni özellikler getirdi.
Bu yüksek faaliyete rağmen, P2Pinfect, tehlikeye atılan sistemler üzerinde herhangi bir kötü niyetli eylem gerçekleştirmedi, bu nedenle operasyonel hedefleri bulanık kaldı.
Aralık 2023'te, yönlendiriciler ve IoT cihazlarında bulunan 32 bit MIPS (kilitli borularsız aşamalar olmadan mikroişlemci) işlemcileri hedeflemek üzere tasarlanmış CADO analistleri tarafından yeni bir P2pinfect varyantı keşfedildi.
CADO, 16 Mayıs 2024'ten başlayarak P2Pinfect ile enfekte olan cihazların, belirli bir URL'den fidye yazılımı yükü (RSAGEN) indirme ve çalıştırmak için bir komut aldığını ve komutun 17 Aralık 2024'e kadar geçerli olduğunu bildirdi.
Başlatıldıktan sonra, uzlaştırılmış sistemlerin yeniden şekillendirilmesini önlemek için fidye yazılımı ikili bir fidye notunun varlığını ("Verileriniz kilitlendi! .Txt") kontrol eder.
Fidye yazılımı, veritabanları (SQL, SQLite3, DB), belgeler (DOC, XLS) ve medya dosyaları (MP3, WAV, MKV) ile ilgili belirli uzantılara sahip dosyaları hedefler ve sonuçta ortaya çıkan dosyalara '.
Fidye yazılımı, dosyaları şifreleyerek ve şifrelenmiş dosyaların bir veritabanını geçici bir dosyada '.lockedfiles' uzantısı ile saklar.
Fidye yazılımı modülünden kaynaklanan hasar, tehlikeye atılan Redis kullanıcısının ve bunların erişebileceği dosyalarla sınırlı olan ayrıcalık seviyesine göre yer alır. Ayrıca, Redis genellikle bellekte dağıtıldığından, yapılandırma dosyalarının ötesinde çok fazla değil, şifreleme için uygun değildir.
Önceki yinelemelerde uykuda görülen XMR (Monero) madenci şimdi etkinleştirildi, geçici bir dizine bırakıldı ve birincil yük başlamadan beş dakika sonra başlatıldı.
İncelenen numunelerdeki önceden yapılandırılmış cüzdan ve madencilik havuzu şimdiye kadar yaklaşık 10.000 dolar olan 71 XMR yaptı, ancak Cado, operatörlerin ek cüzdan adresleri kullanma şansı olduğunu söylüyor.
Yeni P2Pinfect'in tuhaf bir özelliği, madencinin genellikle fidye yazılımı modülünün çalışmasını engelleyen mevcut tüm işleme gücünü kullanacak şekilde yapılandırılmasıdır.
Ayrıca, P2Pinfect botlarının kötü amaçlı işlemlerini ve dosyalarını güvenlik araçlarından gizlemesini sağlayan ve bu gizlemeyi elde etmek için birden fazla işlemi ele geçirmesini sağlayan yeni bir kullanıcı modu rootkit.
Kökkit teorik olarak dosya işlemlerini, veri erişim olaylarını ve ağ bağlantılarını gizleyebilmesine rağmen, etkinliği yine REDIS (tipik) bellek içi konuşlandırma ile sınırlıdır.
Cado'nun P2Pinfect'in birden fazla siber suçlu kiralanıp kiralanmadığı veya çekirdek bir ekip tarafından işletilip işletilmediği konusundaki araştırması sonuçsuz kaldı ve kanıtlar her iki senaryoyu da destekliyor.
Ana paket, P2Pinfect'in artık bir deney değil, verileri yok edebilen ve kâr için hesaplama kaynaklarını ele geçirebilen sunucular için gerçek bir tehdit olmasıdır.
GhostEngine Madencilik Saldırıları, savunmasız sürücüleri kullanarak EDR güvenliğini öldürdü
Botnet Lockbit Black Fidye Yazılımı Kampanyasına Milyonlarca E -posta Gönderdi
Rafel Rat fidye yazılımı saldırılarında modası geçmiş Android telefonları hedefliyor
Çinli siberler, saptırma için saldırılarda fidye yazılımı kullanır
Blacksuit fidye yazılımı saldırısının neden olduğu CDK Global Kesinti
Kaynak: Bleeping Computer