行业新闻与博客

据观察，一种名为“P2Pinfect”的新型复杂恶意软件活动针对可公开访问的 Redis 数据存储部署。

根据 Cado 安全实验室周一发布的技术文章，该恶意软件是用 Rust 编写的，由于编程语言的复杂性，分析起来很困难。

作为上下文，在 Cado Security 遇到 P2Pinfect 和发布文章之间的时间里，Unit42 研究人员还发布了对该恶意软件 Windows 变体的单独分析。

特别是，Cado Security 研究人员观察到，P2Pinfect 恶意软件充当僵尸网络代理，并表现出 Windows 和 Linux 之间的跨平台兼容性。 

他们在恶意软件样本中发现了嵌入式可移植可执行文件（PE）和额外的 ELF 可执行文件，证实了其能够感染 Windows 和 Linux 系统。

该恶意软件通过利用 Redis 数据存储的复制功能获得对受感染系统的初始访问权限。复制完成后，恶意软件会加载恶意共享对象文件，授予反向 shell 访问权限以及在主机上运行任意 shell 命令的能力。

阅读有关支持 Redis 的恶意软件的更多信息：敦促组织修复 CISA 已利用缺陷目录中添加的 41 个漏洞

此外，恶意软件使用规避技术来阻碍动态分析，使检测和分析更具挑战性。

站稳脚跟后，P2Pinfect 表现出类似蠕虫的行为，积极尝试传播到网络上的其他主机。它扫描暴露的 Redis 和 SSH 服务器并使用密码列表来尝试暴力攻击。

该恶意软件还建立了一个点对点僵尸网络，其中受感染的服务器充当与其他受感染服务器连接的节点。这种去中心化的方法允许僵尸网络相互闲聊，而无需依赖集中式命令和控制（C2）服务器。

Cado 安全实验室发现该恶意软件可以删除并执行额外的有效负载。然而，与 Unit42 一样，他们没有在分析的样本中观察到加密货币挖掘行为。

帖子中写道：“此功能可能会在以后启用，并且恶意软件肯定能够自我更新以包含此类功能。”

“这使得操作员能够快速部署他们选择的任何有效负载。我们将继续监控该恶意软件并在发生时发布更新。”