Een hardnekkige malware heeft het gemunt op de cache-opslag Redis. De malware werd eerder deze maand al ontdekt en bekend gemaakt, maar wist zich in de tussentijd al te heroriënteren en aan te passen.
P2Pinfect is een malware dat zich richt op Redis. Redis is een opensource-software dat ingezet wordt als cachingtechniek om websites sneller te laten laden.
Cado Security kwam de malware op het spoor en gaf meer details in een onderzoeksrapport. In het onderzoek werd een malware-sample gevonden die een embedded Portable Executable (PE) combineerde met een ELF executable. Dit zou erop wijzen dat de malware zowel op Windows-systemen als Linux-systemen kan draaien.
De malware werd geschreven in de programmeertaal Rust. Dat draagt bij aan een grotere portabiliteit van de malware naar verschillende platformen. Bovendien bemoeilijkt Rust de analyse van de code, door de complexiteit van de programmeertaal en het gebrek aan beschikbare tooling.
Groot aanpassingsvermogen
De Windows-versie van de malware werd eerder deze maand al uitgelicht door onderzoekers van Unit 42 van Palo Alto Networks. De onderzoekers bij Cado vonden echter een andere toegangsweg, wat erop duidt dat de malware zich snel kan aanpassen.
De malware beschikt over de mogelijkheden om te worden ingezet voor cryptocurrency-mining. Al is dat momenteel nog niet het geval.
P2Pinfect scoort echter wel tien op tien op de kwetsbaarheidsscore. Via de malware kunnen hackers namelijk code laten draaien vanop afstand. Scripts over het besturingssysteem en schadelijke binaries worden door de malware gedownload, nadat het besmette toestel onderdeel is geworden van het peer-to-peer-netwerk ofwel een botnet.
Initiële toegang krijgt de malware via de kwetsbaarheid CVE-2022-0543 die in 2022 al bekend is gemaakt. Volgens Unit 42 zijn 934 Redis-systemen kwetsbaar voor P2Pinfect. De malware zal echter alle Redis-systemen proberen te infecteren en kan daar door zijn groot aanpassingsvermogen ook in slagen.
Botnet creëren
Momenteel lijken de hackers zich voornamelijk te concentreren op de creatie van een botnet. Eens er genoeg systemen werden geïnfecteerd kan het botnet worden ingezet voor crypto-mining, waar de onderzoekers al mogelijkheden voor zagen. Een botnet kan ook dienst doen om DDoS-aanvallen uit te voeren of voor zaken zoals password spraying. Voor die laatste activiteit wordt de malware AVrecon momenteel benut.
Lees ook: AVrecon: de malware met een botnet-leger van tienduizenden routers
16 uur geleden
