innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

Redisサーバーを狙うP2PInfectボットネット、ランサムウェアとマイナー展開で警鐘

Redisサーバーを狙うP2PInfectボットネット、ランサムウェアとマイナー展開で警鐘 - innovaTopia - (イノベトピア)

Last Updated on 2024-06-28 05:21 by admin

P2PInfectというピアツーピアのマルウェアボットネットが、誤設定されたRedisサーバーを標的にし、ランサムウェアと暗号通貨マイナーを展開していることが明らかになった。このボットネットは、以前は目的が不明瞭な休眠状態にあったが、最近のアップデートにより金銭的な動機を持つ運用へと移行した。Cado Securityの報告によると、最新のアップデートでは、クリプトマイナー、ランサムウェアペイロード、ルートキット要素が強化され、不正なアクセスからの利益追求とネットワークのさらなる拡散を目指している。

P2PInfectは約1年前に初めて確認され、MIPSおよびARMアーキテクチャを標的にするアップデートを受けている。このマルウェアは、Redisサーバーのレプリケーション機能を悪用し、被害者のシステムを攻撃者が制御するサーバーのフォロワーノードに変換することで、任意のコマンドを発行できるようにする。また、インターネット上で脆弱なサーバーをスキャンし、SSHパスワードスプレー攻撃を行うモジュールを備えている。

P2PInfectは、他の攻撃者が同じサーバーを標的にするのを防ぐ措置を講じ、他のユーザーのパスワードを変更し、SSHサービスをルート権限で再起動し、権限昇格を行うことも知られている。セキュリティ研究者Nate Billによると、P2PInfectはピアツーピアボットネットであり、感染した各マシンがネットワーク内のノードとして機能し、複数の他のノードと接続を維持する。これにより、巨大なメッシュネットワークが形成され、マルウェア作者はゴシップメカニズムを通じてネットワーク全体に更新されたバイナリを配布する。

新たな振る舞いの変更として、P2PInfectはマイナーとランサムウェアのペイロードをドロップするようになり、後者は特定のファイル拡張子に一致するファイルを暗号化し、被害者に1 XMR(約$165)の支払いを促すランサムノートを提示する。また、LD_PRELOAD環境変数を利用する新しいユーザーモードルートキットが導入され、セキュリティツールから悪意のあるプロセスとファイルを隠すことができる。P2PInfectは、他の攻撃者のペイロードを配布するためのサービスとして広告されている可能性があり、マイナーとランサムウェアのウォレットアドレスが異なること、マイナープロセスが可能な限り多くの処理能力を消費するように設定されていることが指摘されている。

【ニュース解説】

P2PInfectとは、誤設定されたRedisサーバーを標的にし、ランサムウェアと暗号通貨マイナーを展開するピアツーピア型のマルウェアボットネットです。このボットネットは、以前は活動が不明瞭で休眠状態にあったものが、最近のアップデートを通じて金銭的な動機を持つ運用へと移行しました。この変化は、マルウェアの作者が不正なアクセスからの利益追求とネットワークのさらなる拡散を目指していることを示しています。

P2PInfectは、Redisサーバーのレプリケーション機能を悪用して被害者のシステムを攻撃者が制御するサーバーのフォロワーノードに変換し、その後任意のコマンドを発行できるようにします。さらに、インターネット上で脆弱なサーバーを探し出し、SSHパスワードスプレー攻撃を行うモジュールを備えています。このボットネットは、他の攻撃者が同じサーバーを標的にするのを防ぐために、他のユーザーのパスワードを変更し、SSHサービスをルート権限で再起動し、権限昇格を行うことも特徴です。

P2PInfectの新たな振る舞いの変更には、マイナーとランサムウェアのペイロードをドロップすることが含まれます。ランサムウェアは特定のファイル拡張子に一致するファイルを暗号化し、被害者に1 XMR(約$165)の支払いを促すランサムノートを提示します。また、LD_PRELOAD環境変数を利用する新しいユーザーモードルートキットが導入され、セキュリティツールから悪意のあるプロセスとファイルを隠すことが可能になりました。

このボットネットの特徴は、ピアツーピアネットワークを形成し、更新されたバイナリをネットワーク全体に配布する能力にあります。マルウェアの作者は、一つのピアに通知するだけで、そのピアが他のすべてのピアに情報を伝え、新しいバイナリがネットワーク全体に広がるようにします。このゴシップメカニズムにより、迅速かつ効率的な更新が可能になります。

しかし、このボットネットの使用は、サイバーセキュリティにとって大きな脅威をもたらします。特に、マイナーとランサムウェアのペイロードは、被害者のシステムに重大な影響を与える可能性があります。マイナープロセスは大量の処理能力を消費し、システムのパフォーマンスを低下させる一方で、ランサムウェアは重要なファイルを暗号化し、復旧のための身代金を要求します。さらに、ユーザーモードルートキットの導入により、検出と対策がより困難になります。

このような脅威に対処するためには、Redisサーバーの設定を適切に管理し、定期的なセキュリティアップデートを行うことが重要です。また、SSHパスワードの強化、不要なサービスの無効化、セキュリティソフトウェアの導入と更新など、包括的なセキュリティ対策が必要になります。サイバーセキュリティの脅威は常に進化しているため、最新の脅威情報に注意を払い、迅速に対応することが求められます。

from Rust-Based P2PInfect Botnet Evolves with Miner and Ransomware Payloads.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Redisサーバーを狙うP2PInfectボットネット、ランサムウェアとマイナー展開で警鐘

Latest News