P2Pinfect BotNet'in en son varyantları, yönlendiriciler ve IoT cihazları gibi 32 bit MIPS (kilitli boru hatları olmayan mikroişlemci) işlemcilerle enfekte etmeye odaklanıyor.
Verimlilikleri ve kompakt tasarımları nedeniyle, MIP'ler yönlendiriciler, konut ağ geçitleri ve video oyunu konsolları gibi gömülü sistemlerde yaygındır.
P2Pinfect, Temmuz 2023'te Palo Alto Networks analistleri (Ünite 42) tarafından CVE-2022-0543'e karşı savunmasız Redis sunucularını hedefleyen yeni bir pas bazlı solucan olarak keşfedildi.
İlk keşfinin ardından, P2Pinfect'i inceleyen CADO güvenlik analistleri, Redis çoğaltma özelliğini yaymak için kötüye kullandığını ve enfekte olmuş örneğin kopyalarını oluşturduğunu bildirdi.
Daha sonra, Eylül ayında Cado, Amerika Birleşik Devletleri, Almanya, İngiltere, Japonya, Singapur, Hong Kong ve Çin'deki P2Pinfect Botnet Etkinlik Hedefleme Sistemleri hakkında uyardı.
Bugün Cado, projenin hedefleme kapsamında ve tespitten kaçınma yeteneğinde önemli bir evrimi işaret eden BotNet ile ilgili yeni bir gelişme bildiriyor.
Zayıf kimlik bilgileri kullanan ve SFTP ve SCP üzerinden MIPS ikili yüklemeye çalışan SSH sunucuları için Cado'nun Honeypots taramasında gözlemlenen son saldırılar.
İlginç bir şekilde, MIPS varyantının yayılması, araştırmacılar 'Redis-Server' adlı bir OpenWRT paketinden MIPS cihazlarında Redis sunucusunu çalıştırmaya çalıştıklarından SSH ile sınırlı değildir.
Statik analiz sırasında CADO araştırmacıları, yeni P2Pinfect'in, hata ayıklama bilgisi olmayan 32 bit ELF ikili olduğunu ve REDIS için ana bilgisayarda kabuk komutu yürütmesini sağlamak için yüklenebilir bir modül görevi gören gömülü 64 bit Windows DLL olduğunu buldular.
P2Pinfect'in en yeni varyantı, tespit ve analizini çok daha zor hale getiren sofistike ve çok yönlü kaçırma mekanizmalarını uygular.
CADO, en son P2Pinfect'te sunulan aşağıdaki kaçırma mekanizmalarını vurguladı:
Kötü amaçlı yazılımların hedeflemesinin sürekli olarak geliştirilmesi ve genişlemesi, yazarlarından yüksek düzeyde kodlama becerileri ve belirleme gösterir.
Botnet'in zaman içinde çeşitli kampanyalar aracılığıyla kapsamlı bir şekilde izlenmesine rağmen, CADO güvenliğinin kötü amaçlı yazılım operatörlerinin kesin hedefleri konusunda belirsiz kaldığını vurgulamak önemlidir.
Bu hedefler kripto para madenciliğini kapsayabilir, dağıtılmış hizmet reddi (DDOS) saldırılarını başlatabilir, trafik proxyingini kolaylaştırabilir ve veri hırsızlığı yürütebilir.
'DDostf' DDOS-Hizmet Olarak Hedeflenen MySQL sunucuları botnet
Kötü niyetli trafik için 23.000 vekil ile ipstorm botnet parçalandı
SOCKS5Systemz Proxy Service dünya çapında 10.000 sistemi bulaştı
Mozi kötü amaçlı yazılım botnet, öldürme anahtarının gizemli kullanımından sonra kararıyor
Mirai DDOS kötü amaçlı yazılım varyantı, 13 yönlendirici istismarıyla hedefleri genişletir
Kaynak: Bleeping Computer