New P2PInfect Worm Targets Redis Servers with Undocumented Breach Methods
2023/07/31 TheHackerNews — P2PInfect P2 ワーム は、これまで文書化されていないイニシャル・アクセス方法を用いて、影響を受けやすい Redis サーバに侵入し、ボットネットへと取り込んでいることが確認されている。Cado Security の研究者である Nate Bill と Matt Muir は、「このマルウェアは、レプリケーション機能を悪用することで、Redis データストアの露出したインスタンスを侵害する。クラウド環境の Redis に対する一般的な攻撃パターンは、悪意のインスタンスを介して上記の機能を悪用し、レプリケーションを有効化することである。具体的に言うと、公開された Redis インスタンスに接続し、SLAVEOF コマンドを発行することで実現する」と、The Hacker Newsと共有したレポートの中で述べている。
この Rust ベースのマルウェアは、Palo Alto Networks の Unit 42 により、初めて文書化されたものである。また、このマルウェアは、Redis インスタンスへ侵入する足がかりを得るために、深刻な Lua サンドボック・スエスケープの脆弱性 CVE-2022-0543 (CVSS : 10.0) を悪用する能力があるとされる。この P2PInfect キャンペーンは、2023年6月29日以降に開始されたと考えられている。
しかし、今回の発見では、このキャンペーンの背後にいる脅威行為者が、複数のエクスプロイトを用いてイニシャル・アクセスを実現していることが示唆される。
SLAVEOF コマンドが悪用されたのは、今回が初めてのことではない。これまでにも、H2Miner や HeadCrab といったマルウェア・ファミリーなどが、侵害したホスト上で暗号通貨を不正に採掘するために、この攻撃手法を悪用してきた。
その目的は、悪意のインスタンスを複製し、悪意のモジュールをロードして、感染を活性化することにある。
もう1つの、イニシャル・アクセス・ベクターは、Redis ホスト上に悪意の cron ジョブを登録し、実行時にリモート・サーバからマルウェアをダウンロードさせるという手法であり、WatchDog クリプトジャッキング・グループによる攻撃で、以前も確認されたものである。
この手法で侵入に成功すると、次段階のペイロードが配布される。このマルウェアは、iptables ファイアウォールの自由なルール変更や、自身のアップグレードなどを行い、ボットネットが特定の規模に成長した後に、暗号通貨マイナーを展開するという。
研究者たちは、「P2Pinfect マルウェアは P2P ボットネットを利用している。それぞれの感染したサーバはノードとして扱われ、他の感染したサーバと接続する。それにより、中央集権的な C2 サーバを使用することなく、ボットネット全体が互いに通信し合うことになる」と述べている。
このボットネットの特徴は、SSH サーバに対してブルートフォース攻撃に用いるパスワード・リストを使用や、Lua サンドボックス・エスケープ脆弱性の悪用、Redis サーバに対する SLAVEOF コマンドの使用などにより、その感染範囲を拡大していくワームの動作である。
研究者たちは、「P2Pinfect は上手く設計されており、レプリケーションと C2 のための洗練された技術を活用している。Rust を使用するという選択肢により、Windows と Linux で多くのコードを共有し、プラットフォーム間での移植性を高める一方で、コードの静的解析を著しく困難にしている」と締め括っている。
Redis における脆弱性 CVE-2022-0543 と、P2PInfect というワームについては、2023/07/23 の「P2PInfect という新種のワーム:Redis サーバの脆弱性 CVE-2022-0543 が狙われている」で、すでにお伝えしています。今回、明らかになったのは、SLAVEOF コマンドおよび cron ジョブの悪用とのことです。
IoT OT Security News 
You must be logged in to post a comment.