P2Pinfect se zaměřuje na servery Redis
Červ P2Pinfect se používá při útocích na servery Redis. Cílem útoku je nasadit ransomware nebo software pro těžbu kryptoměn.
Výzkumníci společnosti Cado Security varovali, že červ P2Pinfect se používá při útocích na servery Redis. Cílem útoku je nasadit ransomware nebo software pro těžbu kryptoměn.
V červenci 2023 výzkumníci z oddělení 42 společnosti Palo Alto Networks poprvé objevili P2P červa P2PInfect, který se zaměřuje na servery Redis běžící v systémech Linux i Windows.
V prosinci 2023 objevila společnost Cado Security Labs novou variantu P2Pinfect, která se zaměřovala na routery a IoT. Tato varianta byla zkompilována pro architekturu MIPS.
Červ je napsán v programovacím jazyce Rust a cílí na Redis instance pomocí zranitelnosti CVE-2022-0543 (CVSS skóre 10.0).
V září 2023 společnost Cado Security Labs oznámila, že od 28. srpna zaznamenala 600násobný nárůst provozu P2Pinfect. Výzkumníci poukázali na to, že malware nakonec neměl jiný cíl než se šířit, nicméně nová aktualizace P2Pinfect zavedla ransomware a crypto miner payload.
Poslední kampaň začala 23. června 2024. Škodlivý software se šíří pomocí replikačních funkcí Redisu.
"P2Pinfect je červ, takže všechny infikované počítače hledají na internetu další servery, které by mohly infikovat stejným vektorem, který je popsán výše. P2Pinfect také obsahuje základní bruteforce SSH nástroj, kdy vyzkouší několik běžných hesel u několika běžných uživatelů, ale úspěšnost tohoto vektoru infekce se zdá být mnohem menší než u Redisu. Po úspěšném útoku vloží červ SSH klíč do souboru autorizovaných klíčů pro aktuálního uživatele a spustí sérii příkazů, které zabrání přístupu k Redis instanci" uvádí se ve zprávě zveřejněné společností Cado.
Výzkumníci se domnívají, že P2Pinfect může být také využit jako nájemný botnet, který umožňuje svým zákazníkům nasazovat další payloady.