- 9,321
- 18
- 8 Ноя 2022
Использование архитектуры MIPS открывает хакерам новые пути для массовых атак.
Исследователи безопасности обнаружили в киберпространстве новую вариацию ботнета P2PInfect. Для просмотра ссылки Войдиили Зарегистрируйся лаборатории Cado Security , эта версия ботнета разработана специально для архитектуры MIPS , что даёт ей возможность атаковать роутеры и устройства Интернета вещей ( IoT ), такие как умные чайники, кофеварки, IP-камеры и т.п. Это резко расширяет возможности и сферу воздействия ботнета.
Впервые P2PInfect, основанный на языке программирования Rust , Для просмотра ссылки Войдиили Зарегистрируйся в июле этого года. Он атакует незащищённые экземпляры Redis , эксплуатируя критическую уязвимость языка Lua ( Для просмотра ссылки Войди или Зарегистрируйся , оценка CVSS 10.0) для первоначального доступа.
Дальнейший анализ показал значительный рост активности P2PInfect Для просмотра ссылки Войдиили Зарегистрируйся , что совпало с выпуском новых версий вредоносного ПО. Эти новые версии, помимо попыток провести атаки методом подбора паролей через SSH на устройствах с 32-битными процессорами MIPS, включают усовершенствованные методы уклонения и затруднения анализа. Попытки взлома SSH-серверов были осуществлены с использованием распространённых пар логинов и паролей, встроенных в двоичный файл ELF .
Предполагается, что серверы SSH и Redis являются основными векторами распространения новой вариации P2PInfect, поскольку на MIPS можно запустить сервер Redis с помощью OpenWRT -пакета Для просмотра ссылки Войдиили Зарегистрируйся .
Одним из методов уклонения новой вариации ботнета является самоуничтожение и попытка отключения дампов ядра Linux , в случае обнаружения или прерывания основного процесса вредоноса.
Вариация MIPS также включает в себя встроенный 64-битный Windows -модуль DLL для Redis, позволяющий выполнять команды оболочки на скомпрометированной системе.
В Cado Security подчёркивают: «Это интересная разработка не только в том смысле, что она демонстрирует расширение возможностей разработчиков, стоящих за P2PInfect, но и в том, что образец MIPS32 включает в себя некоторые заметные методы уклонения от защиты».
«В сочетании с использованием Rust и быстрыми темпами роста самого ботнета, предыдущие предположения о том, что эта кампания проводится весьма изощренным субъектом угрозы, лишь подтверждаются», — подытожили исследователи.
Исследователи безопасности обнаружили в киберпространстве новую вариацию ботнета P2PInfect. Для просмотра ссылки Войди
Впервые P2PInfect, основанный на языке программирования Rust , Для просмотра ссылки Войди
Дальнейший анализ показал значительный рост активности P2PInfect Для просмотра ссылки Войди
Предполагается, что серверы SSH и Redis являются основными векторами распространения новой вариации P2PInfect, поскольку на MIPS можно запустить сервер Redis с помощью OpenWRT -пакета Для просмотра ссылки Войди
Одним из методов уклонения новой вариации ботнета является самоуничтожение и попытка отключения дампов ядра Linux , в случае обнаружения или прерывания основного процесса вредоноса.
Вариация MIPS также включает в себя встроенный 64-битный Windows -модуль DLL для Redis, позволяющий выполнять команды оболочки на скомпрометированной системе.
В Cado Security подчёркивают: «Это интересная разработка не только в том смысле, что она демонстрирует расширение возможностей разработчиков, стоящих за P2PInfect, но и в том, что образец MIPS32 включает в себя некоторые заметные методы уклонения от защиты».
«В сочетании с использованием Rust и быстрыми темпами роста самого ботнета, предыдущие предположения о том, что эта кампания проводится весьма изощренным субъектом угрозы, лишь подтверждаются», — подытожили исследователи.
- Источник новости
- www.securitylab.ru
