Yönlendiricileri ve IoT Cihazlarını Hedefleyen Yeni P2PInfect Botnet MIPS Varyantı

Siber güvenlik araştırmacıları, yönlendiricileri ve IoT cihazlarını hedefleyebilen, gelişmekte olan bir botnet'in P2PInfect adlı yeni bir varyantını keşfettiler.

Cado Security Labs başına en son sürüm, Kilitli Ardışık Düzen Aşamaları (MIPS) mimarisi olmayan Mikroişlemci için derlenerek yeteneklerini ve erişimini genişletir.

Güvenlik araştırmacısı Matt Muir, paylaşılan bir raporda, "MIPS'yi hedef alarak, P2PInfect geliştiricilerinin yönlendiricilere ve IoT cihazlarına kötü amaçlı yazılım bulaştırmayı amaçlaması muhtemeldir" dedi.

Rust tabanlı bir kötü amaçlı yazılım olan P2PInfect, ilk erişim için kritik bir Lua sandbox kaçış güvenlik açığından (CVE-2022-0543, CVSS puanı: 10.0) yararlanarak yama uygulanmamış Redis örneklerini hedef aldığı ilk olarak Temmuz 2023'te duyuruldu.

Bulut güvenlik firmasının Eylül ayında yaptığı bir sonraki analiz, kötü amaçlı yazılımın yinelemeli varyantlarının piyasaya sürülmesiyle aynı zamana denk gelen P2PInfect etkinliğinde bir artış olduğunu ortaya koydu.

Yeni eserler, 32 bit MIPS işlemcilerle gömülü cihazlara SSH kaba kuvvet saldırıları gerçekleştirmeye çalışmanın yanı sıra, radarın altında uçmak için güncellenmiş kaçınma ve anti-analiz tekniklerini bir araya getiriyor.

Tarama aşamasında tanımlanan SSH sunucularına yönelik kaba kuvvet girişimleri, ELF ikili dosyasının kendisinde bulunan ortak kullanıcı adı ve parola çiftleri kullanılarak gerçekleştirilir.

Hem SSH hem de Redis sunucularının, redis-server olarak bilinen bir OpenWrt paketi kullanarak MIPS'de bir Redis sunucusu çalıştırmanın mümkün olması nedeniyle MIPS varyantı için yayılma vektörleri olduğundan şüphelenilmektedir.

Kullanılan dikkate değer kaçınma yöntemlerinden biri, analiz edilip edilmediğini belirlemek için bir kontrol ve eğer öyleyse, kendini sonlandırmanın yanı sıra, bir işlem beklenmedik bir şekilde çöktükten sonra çekirdek tarafından otomatik olarak oluşturulan dosyalar olan Linux çekirdek dökümlerini devre dışı bırakma girişimidir.

MIPS varyantı, güvenliği ihlal edilmiş bir sistemde kabuk komutlarının yürütülmesine izin veren Redis için katıştırılmış bir 64 bit Windows DLL modülü de içerir.

Cado, "Bu, P2PInfect'in arkasındaki geliştiriciler için kapsamın genişlediğini göstermesi açısından ilginç bir gelişme değil (daha fazla desteklenen işlemci mimarisi, botnet'in kendisinde daha fazla düğüme eşittir), aynı zamanda MIPS32 örneği bazı önemli savunma kaçınma tekniklerini içeriyor" dedi.

"Bu, kötü amaçlı yazılımın Rust kullanımı (platformlar arası geliştirmeye yardımcı olmak) ve botnet'in kendisinin hızlı büyümesiyle birleştiğinde, bu kampanyanın karmaşık bir tehdit aktörü tarafından yürütüldüğüne dair önceki önerileri güçlendiriyor."