マルチライセンス割引
Threat Database Malware P2Pinfect マルウェア

P2Pinfect マルウェア

Malware, Botnets, WormsMezoまで
翻訳内容:
日本語

脅威アクターは、SSH およびオープンソース データ ストアである Redis の脆弱なインスタンスに対して攻撃を実行しています。これらの詐欺行為者は、P2Pinfect として知られるピアツーピア自己複製ワームを使用しています。このワームには、Windows と Linux の両方のオペレーティング システム用に設計されたバージョンがあります。

Rust プログラミング言語で開発された P2Pinfect マルウェアは、少なくとも 2 つの方法を利用してターゲット システムへの初期アクセスを取得します。最初の方法は、2022 年に公開されパッチが適用された重大な脆弱性を悪用します。 2 番目の方法は、メイン データベースのレプリケーションを可能にして高可用性を向上させ、フェイルオーバー シナリオに対抗できる Redis 内の機能を利用します。

P2Pinfect マルウェアはさまざまな感染ベクトルを使用する

当初、P2PInfect は、最大重大度スコアが 10 点中 10 点であった CVE-2022-0543 として特定された重大な脆弱性を悪用しました。このセキュリティ上の欠陥は、特に Debian システムに影響を及ぼし、パッケージングの問題から生じる LUA サンドボックス エスケープの脆弱性に関連していました。この脆弱性が悪用されると、リモートでコードが実行される機能が付与され、影響を受けるシステムに重大な脅威をもたらします。

脆弱な Redis インスタンスが初期ペイロードを使用して侵害されると、P2PInfect は特定のオペレーティング システムに合わせた新しいスクリプトと悪意のあるバイナリのダウンロードを開始します。さらに、感染したサーバーは、マルウェアの侵害されたシステムのリストに追加されます。その後、マルウェアは感染したサーバーをピアツーピア ネットワークに統合し、将来侵害された Redis サーバーへの悪意のあるペイロードの拡散を促進します。

P2PInfect を調査している研究者は、クロスプラットフォーム互換性を示すサンプルも発見しました。これは、このマルウェアが Windows 環境と Linux 環境の両方をターゲットにするように設計されていることを示しています。この特定のサンプルには、Portable Executable (PE) バイナリと ELF バイナリが含まれており、両方のオペレーティング システムでシームレスに動作することができます。興味深いことに、この亜種では、メイン/リーダー Redis インスタンスの正確なレプリカの生成を可能にする Redis レプリケーション機能を活用した、異なる初期アクセス方法が採用されています。

P2Pinfect マルウェアが拡散し、感染したシステムをボットネットに追加

このマルウェアの主なペイロードは ELF バイナリで、C と Rust プログラミング言語を組み合わせて巧みに記述されています。実行すると、ペイロードの Rust コンポーネントが引き継がれるようにトリガーされます。

バイナリはアクティブ化されると、ターゲットのホスト上の SSH 設定に重要な変更を加えます。 OpenSSH サーバーの構成をデフォルトに近い状態に変更し、攻撃者にセキュア シェル (SSH) プロトコルを介したサーバーへのアクセスを許可し、パスワード認証を有効にします。次に、攻撃者は SSH サービスを再起動し、現在のユーザーの許可されたキーのリストに SSH キーを追加して、侵害されたシステムへの妨げられないアクセスを保証します。

後続のフェーズでは、攻撃者は bash スクリプトを展開して、wget バイナリとcurl バイナリの名前を操作します。また、スクリプトは特定のユーティリティの存在を確認し、まだ利用できない場合はインストールします。ファイアウォール ユーティリティの使用は、脆弱な Redis サーバーを他の潜在的な攻撃者から保護するためにマルウェアが採用した手段であると考えられます。マルウェアは侵害されたホスト上で永続性を確立し、継続的な動作を保証します。

その後、感染したサーバーには、/proc ディレクトリをスキャンして、その中の各プロセスの統計情報にアクセスできるバイナリが少なくとも 1 つ搭載されます。さらに、バイナリは /proc ディレクトリの変更を積極的に監視できます。

さらに、このバイナリは、現在の署名がボットネットから取得した署名と一致しない場合に、プライマリ マルウェア バイナリをアップグレードして実行する機能を備えています。

P2PInfect は、侵害された各 Redis サーバーをノードとして扱うことで、ネットワークをピアツーピア ボットネットに変換します。このボットネットは集中管理されたコマンドアンドコントロール (C2) サーバーを必要とせずに動作し、自律的に指示を受け取ることができます。

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...