Rust-Based P2PInfect Botnet Evolves with Miner and Ransomware Payloads – OfficialSarkar
पी2पीइन्फेक्ट के नाम से जाना जाने वाला पीयर-टू-पीयर मैलवेयर बॉटनेट रैनसमवेयर और क्रिप्टोकरेंसी माइनर्स के साथ गलत तरीके से कॉन्फ़िगर किए गए रेडिस सर्वरों को निशाना बनाता हुआ पाया गया है।
यह घटनाक्रम इस खतरे के स्पष्ट उद्देश्यों वाले निष्क्रिय बॉटनेट से वित्तीय रूप से प्रेरित संचालन में परिवर्तन का संकेत देता है।
कैडो सिक्योरिटी ने कहा, “क्रिप्टो माइनर, रैनसमवेयर पेलोड और रूटकिट तत्वों के अपने नवीनतम अपडेट के साथ, यह मैलवेयर लेखक के अपने अवैध पहुंच से लाभ कमाने और नेटवर्क को आगे फैलाने के निरंतर प्रयासों को दर्शाता है, क्योंकि यह इंटरनेट पर लगातार फैल रहा है।” कहा इस सप्ताह प्रकाशित एक रिपोर्ट में यह बात कही गई है।
P2PInfect करीब एक साल पहले प्रकाश में आया था, और तब से MIPS और ARM आर्किटेक्चर को लक्षित करने के लिए अपडेट प्राप्त कर रहा है। इस जनवरी की शुरुआत में, नोज़ोमी नेटवर्क्स ने माइनर पेलोड वितरित करने के लिए मैलवेयर के उपयोग का खुलासा किया।
यह आमतौर पर रेडिस सर्वर और इसकी प्रतिकृति सुविधा को लक्ष्य करके फैलता है, ताकि पीड़ित सिस्टम को हमलावर-नियंत्रित सर्वर के अनुयायी नोड में बदल दिया जाए, और इसके बाद खतरा पैदा करने वाले को उन्हें मनमाने आदेश जारी करने की अनुमति मिल जाए।
रस्ट-आधारित वर्म में अधिक असुरक्षित सर्वरों के लिए इंटरनेट को स्कैन करने की क्षमता भी होती है, साथ ही इसमें SSH पासवर्ड स्प्रेयर मॉड्यूल भी शामिल होता है जो सामान्य पासवर्ड का उपयोग करके लॉग इन करने का प्रयास करता है।
अन्य हमलावरों को उसी सर्वर को निशाना बनाने से रोकने के लिए कदम उठाने के अलावा, P2PInfect अन्य उपयोगकर्ताओं के पासवर्ड बदलने, रूट अनुमतियों के साथ SSH सेवा को पुनः आरंभ करने और यहां तक कि विशेषाधिकार वृद्धि करने के लिए भी जाना जाता है।
सुरक्षा शोधकर्ता नैट बिल ने कहा, “जैसा कि नाम से पता चलता है, यह एक पीयर-टू-पीयर बॉटनेट है, जहां प्रत्येक संक्रमित मशीन नेटवर्क में एक नोड के रूप में कार्य करती है, और कई अन्य नोड्स से कनेक्शन बनाए रखती है।”
“इसके परिणामस्वरूप बॉटनेट एक विशाल जाल नेटवर्क बनाता है, जिसका उपयोग मैलवेयर लेखक गॉसिप तंत्र के माध्यम से पूरे नेटवर्क में अपडेटेड बाइनरी को बाहर निकालने के लिए करता है। लेखक को बस एक सहकर्मी को सूचित करने की आवश्यकता होती है, और यह अपने सभी सहकर्मियों को सूचित करेगा और यह तब तक चलता रहेगा जब तक कि नया बाइनरी पूरे नेटवर्क में पूरी तरह से प्रसारित नहीं हो जाता।”
P2PInfect में नए व्यवहारगत परिवर्तनों में माइनर और रैनसमवेयर पेलोड को छोड़ने के लिए मैलवेयर का उपयोग शामिल है, जिनमें से रैनसमवेयर पेलोड को कुछ फ़ाइल एक्सटेंशन से मेल खाने वाली फ़ाइलों को एन्क्रिप्ट करने और पीड़ितों को 1 XMR (~$165) का भुगतान करने का आग्रह करने वाला फिरौती नोट भेजने के लिए डिज़ाइन किया गया है।
“चूंकि यह एक अलक्षित और अवसरवादी हमला है, इसलिए संभव है कि इसके शिकार कम कीमत वाले हों, इसलिए कम कीमत की अपेक्षा की जानी चाहिए,” बिल ने बताया।
इसके अलावा ध्यान देने योग्य बात यह है कि एक नया यूजरमोड रूटकिट है जो सुरक्षा उपकरणों से अपनी दुर्भावनापूर्ण प्रक्रियाओं और फ़ाइलों को छिपाने के लिए LD_PRELOAD पर्यावरण चर का उपयोग करता है, यह तकनीक TeamTNT जैसे अन्य क्रिप्टोजैकिंग समूहों द्वारा भी अपनाई गई है।
यह संदेह है कि P2PInfect को एक बॉटनेट-फॉर-हायर सेवा के रूप में विज्ञापित किया गया है, जो भुगतान के बदले में अन्य हमलावरों के पेलोड को तैनात करने के लिए एक माध्यम के रूप में कार्य करता है।
इस सिद्धांत को इस तथ्य से बल मिलता है कि माइनर और रैनसमवेयर के वॉलेट पते अलग-अलग होते हैं, और माइनर प्रक्रिया को यथासंभव अधिक प्रसंस्करण शक्ति लेने के लिए कॉन्फ़िगर किया जाता है, जिससे यह रैनसमवेयर के कामकाज में हस्तक्षेप करता है।
बिल ने कहा, “मुख्य रूप से अल्पकालिक इन-मेमोरी डेटा संग्रहीत करने वाले सर्वर को लक्षित करने वाले मैलवेयर के लिए रैनसमवेयर पेलोड का चयन एक अजीब बात है, और पी2पीइंफेक्ट को अपने माइनर से रैनसमवेयर की तुलना में कहीं अधिक लाभ मिलने की संभावना है, क्योंकि इसकी अनुमति के स्तर के कारण यह सीमित मात्रा में कम मूल्य वाली फाइलों तक पहुंच सकता है।”
“यूजरमोड रूटकिट की शुरूआत मैलवेयर के लिए ‘कागज़ पर अच्छा’ जोड़ है। यदि आरंभिक पहुँच रेडिस है, तो यूजरमोड रूटकिट भी पूरी तरह अप्रभावी होगा क्योंकि यह केवल रेडिस सेवा खाते के लिए प्रीलोड जोड़ सकता है, जिसके माध्यम से अन्य उपयोगकर्ता संभवतः लॉग इन नहीं करेंगे।”
यह खुलासा AhnLab सुरक्षा खुफिया केंद्र (ASEC) के खुलासे के बाद हुआ है, जिसमें कहा गया था कि कमजोर वेब सर्वर, जिनमें पैच न किए गए दोष हैं या जो खराब तरीके से सुरक्षित हैं, उन्हें संदिग्ध चीनी भाषी खतरा अभिनेताओं द्वारा क्रिप्टो माइनर्स को तैनात करने के लिए लक्षित किया जा रहा है।
ASEC ने कहा, “रिमोट कंट्रोल को वेब शेल्स और नेटकैट के माध्यम से सुगम बनाया गया है, तथा RDP एक्सेस के उद्देश्य से प्रॉक्सी टूल की स्थापना को देखते हुए, खतरे पैदा करने वाले तत्वों द्वारा डेटा एक्सफिलट्रेशन की संभावना बनी हुई है।” कहाबिहाइंडर, चाइना चॉपर, गॉडज़िला, बैडपोटैटो, सीपोलर और के उपयोग पर प्रकाश डाला गया रिंगक्यू.
फोर्टिनेट फोर्टिगार्ड लैब्स ने यह भी बताया कि UNSTABLE, Condi और Skibidi जैसे बॉटनेट, वैध क्लाउड स्टोरेज और कंप्यूटिंग सेवा संचालकों का दुरुपयोग कर, व्यापक श्रेणी के उपकरणों में मैलवेयर पेलोड और अपडेट वितरित कर रहे हैं।
“क्लाउड सर्वर का उपयोग करना [command-and-control] सुरक्षा शोधकर्ता कैरा लिन और विंसेंट ली ने कहा, “ऑपरेशन समझौता किए गए उपकरणों के साथ लगातार संचार सुनिश्चित करता है, जिससे बचावकर्ताओं के लिए हमले को बाधित करना कठिन हो जाता है।” कहा.
Source: TheHackerNews