P2PInfect僵尸网络蠕虫从8月下旬开始经历一段活动量高度上升的时期,然后在2023年9月再次上升。P2PInfect于2023年7月由Unit42首次记录为一种对等恶意软件,该恶意软件在暴露于互联网的Windows和Linux系统上使用远程代码执行缺陷破坏Redis实例。

   Cado Security的研究人员自2023年7月底以来一直在跟踪僵尸网络,近日报告称,违规行为影响了美国、德国、新加坡、英国和日本等多国的系统。此外,最新的P2PInfect样本具有添加和改进功能,使其更容易攻击到目标,这展示了该恶意软件的不断发展。

活动急剧增加

   P2PInfect僵尸网络的活动不断增长,表明该恶意软件已经进入了代码稳定的新时期,操作能力得到提高。

   研究人员报告称,P2PInfect对其蜜罐进行的首次访问尝试数量稳步增加,截至2023年8月24日,单个传感器共发生4064起事件。到2023年9月3日,首次访问事件增加了两倍,但仍然相对较低。

   然后,在2023年9月12日至19日的一周内,P2PInfect活动激增,仅在此期间,Cado就记录了3619次访问尝试,增长了600倍。

   Cado解释道:“P2Pinfect流量的增加与野外出现的变种数量的增加相吻合,这表明恶意软件的开发人员正以极高的开发速度运行。”

P2PInfect的新功能

   在活动增加的同时,Cado观察到新的样本使P2PInfect成为更隐秘、更可怕的威胁。

   首先,该恶意软件添加了一个基于cron的持久性机制,取代了以前的“bash_loout”方法,每30分钟触发一次主负载。

   此外,P2Pinfect现在使用(辅助)bash负载通过本地服务器套接字与主负载通信,如果主进程停止或被删除,它会从对等端检索副本并重新启动它。

   该恶意软件还使用了SSH密钥覆盖被破坏端点上的所有SSH authorized_keys,以阻止合法用户通过SSH登录。

   如果恶意软件具有root访问权限,它将使用自动生成的10个字符的密码为系统上的其他用户执行密码更改,将其锁定。

   最后,P2PInfect现在还为其客户端使用C结构配置,该配置不断动态更新,而以前它没有配置文件。

目标不明确

   Cado报告称,它最近观察到的P2PInfect变体试图获取矿工有效载荷,但在受损设备上没有看到实际的加密挖掘活动。因此,目前尚不清楚恶意软件运营商是否仍在试验攻击的最后一步。

   僵尸网络的运营商可能正在增强矿工组件或寻求P2PInfect订阅的买家,因此他们将矿工用作演示的假人。

   考虑到当前僵尸网络的规模、传播、自我更新功能以及本月的快速扩展,P2PInfect是一个需要关注的重大威胁。