Allerta P2PInfect: nuovo worm attacca server Redis Linux e Windows

I ricercatori di Unit 42 di Palo Alto hanno individuato un nuovo e pericoloso worm peer-to-peer che prende di mira l’ambiente cloud. Lo stesso, chiamato P2PInfect, prende di mira i server Redis a prescindere dal sistema operativo utilizzato.

Secondo i ricercatori William Gamazo e Nathaniel Quist “P2PInfect sfrutta i server Redis in esecuzione su entrambi i sistemi operativi Linux e Windows, rendendolo più scalabile e potente di altri worm. Questo worm è anche scritto in Rust, un linguaggio di programmazione altamente scalabile e adattabile al cloud“.

Stando alle stime degli esperti, si considera che ben 934 sistemi Redis possano essere considerati vulnerabili a questa minaccia. P2PInfect, individuato per la prima volta lo scorso 11 luglio, presenta una caratteristica inusuale che lo distingue da tanti altri worm simili.

Questo, infatti, sfrutta una vulnerabilità nota come CVE-2022-0543 , stata precedentemente sfruttata nel contesto di altre famiglie di malware come Muhstik, Redigo e HeadCrab, considerando solo l’ultimo anno.

Il worm P2PInfect offre ai cybercriminali un accesso permanente al server colpito

Una volta che il worm ottiene l’accesso al server, fornisce agisce caricando un payload che stabilisce la comunicazione P2P e che, attraverso essa, recupera file binari dannosi. I ricercatori, in tal senso, hanno puntualizzato come “L’istanza infetta si unisce quindi alla rete P2P per fornire l’accesso agli altri payload alle future istanze Redis compromesse“.

Il malware utilizza anche uno script PowerShell per stabilire e mantenere la comunicazione tra l’host compromesso e la rete P2P, offrendo agli attori delle minacce un accesso permanente al server.

Non si sa immediatamente quale sia l’obiettivo finale della campagna: di certo, Unit 42 che ha notato che non ci sono prove relative ad azioni di cryptojacking nonostante sia stata individuata la presenza della parola “miner” nel codice sorgente del toolkit.

Nonostante il rischio legato a P2PInfect sia circoscritto, non è detto che questo worm possa essere adottato in futuro anche al di fuori dei sistemi Redis. Dunque, il consiglio per i comuni utenti, è di mantenere sempre un alto livello di attenzione rispetto alle tante minacce della rete.